1)

I förordning (EU) 2016/679 fastställs reglerna för överföring av personuppgifter från personuppgiftsansvariga eller personuppgiftsbiträden i Europeiska unionen till tredjeländer och internationella organisationer, i den mån överföringarna omfattas av dess tillämpningsområde. Reglerna om internationella överföringar av personuppgifter fastställs i kapitel V i den förordningen, närmare bestämt i artiklarna 44–50. Flödet av personuppgifter till och från länder utanför EU är nödvändigt för utvecklingen av internationellt samarbete och internationell handel, samtidigt som man garanterar att skyddsnivån för personuppgifter i EU inte undergrävs.

2)

Enligt artikel 45.3 i förordning (EU) 2016/679 får kommissionen, genom en genomförandeakt, besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredjeland eller en internationell organisation säkerställer en adekvat skyddsnivå. Under dessa villkor får överföringar av personuppgifter till detta tredjeland, detta territorium, denna sektor eller denna internationella organisation göras utan ytterligare tillstånd, i enlighet med vad som föreskrivs i artikel 45.1 och i skäl 103 i förordningen.

3)

Enligt artikel 45.2 i förordning (EU) 2016/679 ska antagandet av ett beslut om adekvat skyddsnivå grunda sig på en heltäckande analys av tredjelandets rättsordning, med hänsyn till både de regler som gäller införare av personuppgifter och de begränsningar och skyddsåtgärder gällande myndigheternas tillgång till personuppgifter. Vid bedömningen ska det avgöras om tredjelandet i fråga garanterar en skyddsnivå som ”i huvudsak motsvarar” den som säkerställs inom EU (skäl 104 i förordning (EU) 2016/679). Såsom klargjorts av Europeiska unionens domstol kräver detta inte en identisk skyddsnivå (2). Närmare bestämt får de medel som det berörda tredjelandet har tillgång till skilja sig från dem som används i EU, så länge som de i det praktiska arbetet faktiskt bidrar till att säkerställa en lämplig skyddsnivå (3). Standarden för en adekvat skyddsnivå kräver därför inte att unionens regler kopieras till punkt och pricka. Snarare gäller det att avgöra huruvida det utländska systemet som helhet erbjuder den höga skyddsnivå som krävs med avseende på innehållet i rätten till personlig integritet och genomförandet, tillsynen och verkställandet av dem i praktiken (4).

4)

Kommissionen har noggrant analyserat japansk lagstiftning och praxis. På grundval av de konstateranden som utvecklas i skälen 6–175 sluter sig kommissionen till att Japan säkerställer en adekvat skyddsnivå för personuppgifter som överförs till organisationer vilka faller inom det tillämpningsområde som lagen om skydd av personuppgifter (5) omfattar och de ytterligare villkor som det hänvisas till i detta beslut. Dessa villkor fastställs i de tilläggsregler (bilaga I) som antagits av nämnden för skydd av personuppgifter (6) och den japanska regeringens officiella framställningar, utfästelser och åtaganden till Europeiska kommissionen (bilaga II).

5)

Genom detta beslut får överföringar från personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade inom Europeiska ekonomiska samarbetsområdet (EES) (7) till sådana organisationer i Japan äga rum utan ytterligare tillstånd. Detta beslut påverkar inte den direkta tillämpningen av förordning (EU) 2016/679 på sådana organisationer, när villkoren i artikel 3 i förordningen är uppfyllda.

6)

Den ordning som styr rätten till personlig integritet och uppgiftsskydd i Japan har sina rötter i den konstitution som fastslogs 1946.

7)

I artikel 13 i konstitutionen fastslås följande:

”Alla människor ska respekteras som individer. Rätten till liv och frihet, samt rätten att eftersträva lycka, ska, i den mån den allmänna välfärden inte påverkas av den, vara den överordnade principen i lagstiftning och i andra statliga ärenden.”

8)

Med stöd i denna artikel har Japans högsta domstol förtydligat den enskildes rättigheter avseende skyddet av personlig information. I ett beslut från 1969 erkände domstolen rätten till personlig integritet och personuppgiftsskydd som en konstitutionell rättighet (8). Domstolen framhöll särskilt att ”den enskilde ska ha frihet att skydda sin egen personliga information ifrån att lämnas ut till en tredje part eller göras tillgängliga för allmänheten utan goda skäl.” Vidare framhöll högsta domstolen i ett beslut av den 6 mars 2008 (Juki-Net) (9) att ”medborgarnas frihet i privatlivet ska vara skyddad mot myndighetsutövning, och det kan anses att den enskilde, som en av den enskildes friheter i privatlivet, har frihet att skydda sin egen personliga information ifrån att lämnas ut till en tredje part eller göras tillgängliga för allmänheten utan goda skäl.” (10)

9)

Den 30 maj 2003 antog Japan flera lagar på området skydd av personuppgifter:

10)

De två sistnämnda lagarna (ändrade 2016) innehåller bestämmelser om offentliga organs skydd av personlig information. Databehandling som omfattas av dessa lagar berörs inte av konstaterandet om adekvat skydd i detta beslut, vilket är begränsat till skydd av personuppgifter av ”näringsidkare som hanterar personlig information” (även kallade informationshanterande näringsidkare) i den mening som avses i lagen om skydd av personuppgifter (nedan även personuppgiftslagen).

11)

Personuppgiftslagen har reformerats på senare år. Personuppgiftslagen i dess ändrade lydelse utfärdades den 9 september 2015 och trädde i kraft den 30 maj 2017. Genom ändringen infördes ett antal nya skyddsåtgärder, vilka också innebar en förstärkning av befintliga skyddsåtgärder, vilket följaktligen för det japanska systemet för skydd av personuppgifter närmare det europeiska. Detta omfattar, till exempel, ett antal lagstadgade individuella rättigheter eller inrättandet av en oberoende tillsynsmyndighet (nämnden för skydd av personuppgifter) med ansvar för tillsyn och genomförande av personuppgiftslagen.

12)

Utöver personuppgiftslagen är den behandling av personlig information som omfattas av det här beslutets tillämpningsområde föremål för genomföranderegler som utfärdats på grundval av personuppgiftslagen. Detta inbegriper en ändring av regeringsbeslutet att genomföra lagen om skydd av personuppgifter av den 5 oktober 2016 och så kallade genomföranderegler för lagen om skydd av personuppgifter som antagits av nämnden för skydd av personuppgifter (11). Båda regelsamlingarna är såväl rättsligt bindande som verkställbara och trädde i kraft vid samma tidpunkt som den ändrade personuppgiftslagen.

13)

Dessutom utfärdade japanska regeringen (premiärministern och ministrarna i regeringen) en grundläggande strategi den 28 oktober 2016 för att ”uttömmande och genomgående främja åtgärder som rör skydd av personlig information”. Enligt artikel 7 i personuppgiftslagen utfärdas den grundläggande strategin i form av ett regeringsbeslut och inkluderar strategier om tillämpningen av personuppgiftslagen som riktar sig till både den centrala regeringen och de lokala myndigheterna.

14)

Genom ett regeringsbeslut som antogs den 12 juni 2018 ändrade den japanska regeringen nyligen den grundläggande strategin. I syfte att underlätta internationell överföring av uppgifter innebär regeringens beslut att nämnden för skydd av personuppgifter (nedan kallad nämnden), i egenskap av behörig myndighet för förvaltningen och genomförandet av personuppgiftslagen, ges ”befogenhet att på grundval av artikel 6 i lagen vidta nödvändiga åtgärder för att överbrygga system- och driftsskillnader mellan Japan och det berörda främmande landet för att säkerställa lämplig hantering av personlig information som tas emot från landet i fråga”. I regeringsbeslutet fastslås att detta inbegriper befogenheten att införa ett förstärkt skydd genom att nämnden antar striktare regler som kompletterar och går utöver dem som fastställs i personuppgiftslagen och regeringsbeslutet. Enligt det beslutet ska dessa striktare regler vara bindande och verkställbara på japanska näringsidkare.

15)

På grundval av artikel 6 i personuppgiftslagen och regeringsbeslutet antog nämnden den 15 juni 2018 tilläggsregler enligt personuppgiftslagen i samband med behandling av personuppgifter som överförts från EU på grundval av ett beslut om adekvat skyddsnivå (nedan kallade tilläggsreglerna) i syfte att förbättra skyddet av personlig information som överförs från Europeiska unionen till Japan på grundval av nuvarande beslut om adekvat skyddsnivå. Dessa tilläggsregler är rättsligt bindande för japanska näringsidkare och både nämnden och domstolarna kan se till att de verkställs, på samma sätt som bestämmelserna i personuppgiftslagen som reglerna kompletterar med striktare och/eller mer detaljerade regler (12). Då de japanska näringsidkare som tar emot och/eller vidarebehandlar personuppgifter från Europeiska unionen kommer att ha lagstadgad skyldighet att följa tilläggsreglerna, måste de säkerställa (t.ex. tekniskt (genom ”öronmärkning”) eller organisatoriskt (genom lagring i en särskild databas)) att de kan fastställa sådana personuppgifter under hela deras ”livscykel” (13). I följande avsnitt analyseras innehållet i varje tilläggsregel som ett led i bedömningen av de artiklar i personuppgiftslagen som den kompletterar.

16)

Till skillnad från tiden före 2015, när ändringar föll olika sektorsspecifika japanska ministeriers ansvarsområden, ger personuppgiftslagen nämnden befogenhet att anta ”riktlinjer” för att ”säkerställa ett korrekt och effektivt genomförande av åtgärder som ska vidtas av en näringsidkare” enligt reglerna om uppgiftsskydd. Nämndens riktlinjer utgör en auktoritativ tolkning av dessa regler, särskilt personuppgiftslagen. Enligt uppgift från nämnden utgör dessa riktlinjer en integrerad del av regelverket, som ska läsas tillsammans med texten till personuppgiftslagen, regeringsbeslutet, nämnden och en rad frågor och svar (14) som utarbetats av nämnden. Därför är de ”bindande för näringsidkare”. Om det i riktlinjerna anges att en näringsidkare ”inte får” eller ”inte bör” agera på ett särskilt sätt, kommer nämnden att anse att bristande efterlevnad av gällande bestämmelser är liktydigt med en lagöverträdelse (15).

17)

Tillämpningsområdet för personuppgiftslagen bestäms av de fastställda begreppen personlig information, personuppgifter och näringsidkare som hanterar personlig information. Samtidigt föreskriver personuppgiftslagen vissa viktiga undantag från dess tillämpningsområde, framför allt för anonymt behandlade personuppgifter och för specifika typer av behandling av vissa operatörer. I personuppgiftslagen används inte begreppet ”behandling”, utan i stället tillämpas det likvärdiga begreppet ”hantering”, vilket enligt uppgift från nämnden täcker ”alla åtgärder som rör personuppgifter”, exempelvis förvärv, inmatning, organisation, lagring, redigering/behandling, uppdatering, radering, utmatning, användning eller tillhandahållande av personuppgifter.

18)

Vad gäller dess materiella tillämpningsområde, skiljer personuppgiftslagen för det första personlig information från personuppgifter, och endast vissa bestämmelser i lagen tillämpas på den förstnämnda kategorin. Enligt artikel 2.1 i personuppgiftslagen omfattar begreppet ”personlig information” all information om en enskild som är i livet och som gör det möjligt att identifiera vederbörande. I definitionen görs åtskillnad mellan två kategorier av personlig information: i) individuella identifieringskoder och ii) annan personlig information, med vars hjälp en viss individ kan identifieras. Den sistnämnda kategorin omfattar också information som i sig inte möjliggör identifiering, men som medger identifiering av en viss individ genom ”en enkel jämförelse” med annan information. Enligt nämndens riktlinjer (16) ska det bedömas från fall till fall huruvida information kan betraktas som ”lätt att sammanställa”, med hänsyn till näringsidkarens faktiska situation (”villkor”). Detta kommer att förutsättas om denna sammanställning är (eller kan) utföras av en genomsnittlig (”normal”) näringsidkare som använder de medel som finns tillgängliga för vederbörande. Exempelvis är information inte ”lätt att sammanställa” med annan information om en näringsidkare måste göra stora ansträngningar eller begå olagliga handlingar för att från en eller flera andra näringsidkare få tillgång till den information som ska sammanställas.

19)

Endast vissa former av personlig information omfattas av begreppet ”personuppgifter” enligt personuppgiftslagen. I princip definieras ”personuppgifter” som ”personlig information i form av en databas med personlig information”, dvs. en ”kollektiv informationskorpus” med information om den egna personen, ”systematiskt organiserad för att möjliggöra datoriserad sökning efter särskild personlig information” (17) eller ”föreskriven genom regeringsbeslut som om den hade varit systematiskt organiserad för att underlätta sökning efter viss personlig information” – men ”med undantag för sådant som genom regeringsbeslut föreskrivs som medförande små risker att skada enskildas rättigheter och intressen med avseende på användningssättet” (18).

20)

Detta undantag definieras närmare i artikel 3.1 i regeringsbeslutet, enligt vilken följande tre kumulativa villkor måste vara uppfyllda: i) den kollektiva uppgiftsmängden måste ha ”lämnats ut i syfte att säljas till ett stort antal icke närmare angivna personer och utlämnandet av den får inte ha skett i strid med bestämmelserna i en lag eller beslut som grundar sig på den”, ii) måste kunna ”förvärvas många gånger av ett stort antal icke närmare angivna personer” och iii) de personuppgifter som ingår i volymen måste ”tillhandahållas i sitt ursprungliga syfte utan tillägg av andra uppgifter om en enskild som är i livet”. Enligt nämndens klargöranden infördes detta begränsade undantag i syfte att undanta telefonkataloger eller liknande förteckningar.

21)

För uppgifter som insamlats i Japan är denna åtskillnad mellan ”personlig information” och ”personuppgifter” relevant, eftersom sådan information inte alltid ingår i en ”databas med personlig information” (t.ex. en uppsättning uppgifter som samlats in och behandlats manuellt) och därför kommer dessa bestämmelser i personuppgiftslagen som bara avser personuppgifter inte att tillämpas (19).

22)

Denna åtskillnad kommer däremot inte att vara relevant för personuppgifter som förs in från Europeiska unionen till Japan på grundval av ett beslut om adekvat skyddsnivå. Då dessa uppgifter normalt kommer att överföras på elektronisk väg (vilket är det vanliga sättet att utbyta uppgifter i den digitala tidsåldern, särskilt över så stora avstånd som det mellan EU och Japan) och således kommer att ingå i uppgiftsinföraren elektroniska register, kommer sådana uppgifter från EU att falla inom kategorin ”personuppgifter” enligt personuppgiftslagen. I det ovanliga fallet att personuppgifter överförs från EU på annat sätt (t.ex. i pappersform), kommer de ändå att omfattas av personuppgiftslagen om de efter överföringen blir en del av en ”kollektiv volym av uppgifter” som organiseras systematiskt så att vissa uppgifter blir lätt sökbara (artikel 2.4 ii i personuppgiftslagen). Enligt artikel 3.2 i regeringsbeslutet blir detta fallet om uppgifterna är ordnade ”enligt vissa regler” och databasen innehåller sådana verktyg som en innehållsförteckning eller ett index för att underlätta sökningen. Detta motsvarar definitionen av ett ”register” i den mening som avses i artikel 2.1 i allmänna dataskyddsförordningen.

23)

Vissa bestämmelser i personuppgiftslagen, särskilt artiklarna 27–30 om individuella rättigheter, gäller endast en särskild kategori av personuppgifter, nämligen lagrade personuppgifter. Dessa definieras i artikel 2.7 i personuppgiftslagen som andra personuppgifter än de som antingen i) ”genom ett regeringsbeslut föreskrivs som uppgifter vilka sannolikt kommer att skada offentliga eller andra intressen, om deras närvaro eller frånvaro blir känd” eller ii) ”som ska raderas inom en period på högst ett år som föreskrivs genom ett regeringsbeslut”.

24)

Den första av dessa båda kategorier förklaras i artikel 4 i regeringsbeslutet och omfattar fyra typer av undantag (20). Målet med dessa undantag liknar dem som förtecknas i artikel 23.1 i förordning (EU) 2016/679, framför allt skydd av den registrerade personen (”huvudmannen” enligt personuppgiftslagens terminologi) och andras frihet, nationell säkerhet, allmän säkerhet, efterlevnad av strafflagstiftning och andra viktiga mål av allmänt intresse. Dessutom framgår det av formuleringen i artikel 4.1 i–iv i regeringsbeslutet att det vid tillämpningen av dessa undantag alltid förutsätts att en specifik risk föreligger för ett av de skyddade viktiga intressena (21).

25)

Den andra kategorin är närmare specificerad i artikel 5 i regeringsbeslutet. Jämförd med artikel 2.7 i personuppgiftslagen medger den att de personuppgifter som ”ska raderas” inom en sexmånadersperiod undantas från tillämpningsområdet för lagrade personuppgifter, och därmed också från individuella rättigheter enligt personuppgiftslagen. Nämnden har klargjort att syftet med detta undantag är att skapa incitament för näringsidkare att lagra och behandla uppgifter under så kort tid som möjligt. Detta skulle dock innebära att registrerade personer i EU inte skulle kunna dra nytta av viktiga rättigheter av det enda skälet att den berörda näringsidkaren inte lagrar deras personuppgifter under längre tid än nödvändigt.

26)

För att komma till rätta med denna situation krävs enligt tilläggsregel 2 att personuppgifter som överförs från Europeiska unionen ”ska hanteras som lagrade personuppgifter i den mening som avses i artikel 2.7 i lagen, oberoende av den tidsfrist inom vilken dessa ska raderas”. Därför kommer inte lagringsperioden att påverka de rättigheter som tilldelats registrerade personer i EU.

27)

De krav som är tillämpliga på anonymt behandlad personlig information, enligt definitionen i artikel 2.9 i personuppgiftslagen, fastställs i kapitel 4 avsnitt 2 i lagen (”Skyldigheter som gäller en näringsidkare som hanterar anonymt behandlad information”). Omvänt kan sådan information inte regleras genom bestämmelserna i kapitel IV avsnitt 1 i personuppgiftslagen, vilken innehåller de artiklar som fastställer skyddsåtgärder för uppgiftsskydd och de rättigheter som gäller vid behandling av personuppgifter enligt denna lag. Följaktligen gäller att medan ”anonymt behandlad personlig information” inte omfattas av ”standardregler” om uppgiftsskydd (som anges i kapitel IV avsnitt 1 och i artikel 42 i personuppgiftslagen), faller den inom tillämpningsområdet för personuppgiftslagen, särskilt artiklarna 36–39.

28)

Enligt artikel 2.9 i personuppgiftslagen är ”anonymt behandlad personlig information” information om den enskilde som ”framställts genom behandling av personlig information” genom åtgärder som föreskrivs i personuppgiftslagen (artikel 36.1) och som specificeras i nämndens regler (artikel 19), med följden att det blivit omöjligt att identifiera en viss person eller återställa personlig information.

29)

Det följer av dessa bestämmelser, vilket också bekräftats av nämnden, att processen med att anonymisera personlig information inte måste vara tekniskt oåterkallelig. Enligt artikel 36.2 i personuppgiftslagen åläggs näringsidkare som hanterar ”anonymt behandlad personlig information” endast att förhindra återidentifiering genom åtgärder för att säkerställa säkerheten för ”de beskrivningar och individuella identifieringskoder som raderats från den personliga information som använts för att framställa anonymt behandlad information och information om bearbetningsmetoden”.

30)

Eftersom ”anonymt behandlad personlig information” enligt definitionen i personuppgiftslagen inbegriper uppgifter för vilka återidentifiering av den enskilde fortfarande är möjlig, kan detta innebära att personuppgifter som överförs från Europeiska unionen skulle kunna förlora en del av det tillgängliga skyddet genom en process som, enligt förordning (EU) 2016/679, anses vara en form av ”pseudonymisering” i stället för ”anonymisering” (och således inte ändrar personuppgifternas karaktär).

31)

För att komma till rätta med den situationen innehåller tilläggsreglerna ytterligare krav som enbart gäller de personuppgifter som överförs från Europeiska unionen i enlighet med detta beslut. Enligt regel 5 i tilläggsreglerna ska sådan personlig information anses vara ”anonymt behandlad personlig information” endast i den mening som avses i personuppgiftslagen, ”om den näringsidkare som hanterar personlig information vidtar åtgärder som gör avidentifiering av den enskilde oåterkallelig för alla, också genom att information om bearbetningsmetoder osv. raderas”. Det senare har preciserats i tilläggsreglerna som information med koppling till beskrivningar och enskilda identifieringskoder som raderats från den personliga information som använts för att framställa ”anonymt behandlad personlig information”, samt information om den metod för att behandla informationen som tillämpats vid raderingen av dessa beskrivningar och individuella identifieringskoder. Med andra ord kräver tilläggsreglerna att den näringsidkare som producerar ”anonymt behandlad personlig information” förstör ”nyckeln” som möjliggör återidentifiera uppgifterna. Detta innebär att personuppgifter med ursprung i Europeiska unionen enbart kommer att omfattas av bestämmelserna i personuppgiftslagen avseende ”anonymt behandlad personlig information” i fall där den också skulle betraktas som anonym information enligt förordning (EU) 2016/679 (22).

32)

Vad gäller den personliga aspekten är personuppgiftslagen endast tillämlig på näringsidkare som hanterar personlig information. Enligt definitionen i artikel 2.5 i personuppgiftslagen är en näringsidkare som hanterar personlig information ”en person som tillhandahåller en databas med personlig information och dyl. för användning i näringsverksamhet”, med undantag av regeringen och förvaltningsorgan, på både central och lokal nivå.

33)

Enligt nämndens riktlinjer innebär ”näringsverksamhet” varje ”handlande som syftar till att för ett visst ändamål, oavsett om det görs för vinst eller inte, vid upprepade tillfällen och kontinuerligt utövar en socialt erkänd verksamhet”. Som näringsidkare som hanterar personlig information betraktas organisationer som inte är juridiska personer (t.ex. de facto-föreningar) eller enskilda om de tillhandahåller (använder) en databas med personlig information osv. för sin näringsverksamhet (23). Därför är begreppet ”näringsverksamhet” i personuppgiftslagen mycket brett och omfattar inte bara vinstdrivande utan även ideell verksamhet som bedrivs av alla slags organisationer och enskilda. Vidare omfattar ”användning i näringsverksamhet” även personlig information som inte används i näringsidkarens (externa) affärsförbindelser, utan internt, t.ex. i behandlingen av uppgifter om anställda.

34)

Vad gäller dem som kommer i åtnjutande av de skyddsmekanismer som anges i personuppgiftslagen, gör lagen ingen åtskillnad på grundval av den enskildes nationalitet, bosättningsort eller vistelseort. Detsamma gäller den enskildes möjligheter att få sitt ärende prövat av nämnden eller i domstol.

35)

I personuppgiftslagen görs ingen åtskillnad mellan de skyldigheter som åligger personuppgiftsansvariga och personuppgiftsbiträden. Denna skillnad påverkar inte skyddsnivån, eftersom alla näringsidkare som hanterar personlig information omfattas av samtliga bestämmelser i lagen. En informationshanterande näringsidkare som överlåter hantering av personuppgifter till en förvaltare (motsvarande en registerförare enligt allmänna dataskyddsförordningen) har alltjämt skyldigheter enligt personuppgiftslagen och tilläggsreglerna i fråga om de uppgifter som den har anförtrotts hanteringen av. Enligt artikel 22 i personuppgiftslagen är näringsidkaren också skyldig att ”utöva nödvändig och lämplig tillsyn” över förvaltaren. Såsom bekräftats av nämnden är förvaltaren i sin tur själv bunden av alla skyldigheter i personuppgiftslagen och tilläggsreglerna.

36)

Artikel 76 i personuppgiftslagen utesluter vissa typer av uppgiftsbehandling från tillämpningen av kapitel IV i lagen, som innehåller de centrala bestämmelserna om uppgiftsskydd (grundläggande principer, skyldigheter för näringsidkare, individuella rättigheter, tillsyn av nämnden). Behandling som omfattas av de sektorsspecifika undantagen i artikel 76 är också undantagna från nämndens verkställighetsbefogenheter, enligt artikel 43.2 i personuppgiftslagen (24).

37)

De relevanta kategorierna för sektorsspecifik uteslutning definieras i artikel 76 i personuppgiftslagen med hjälp av ett dubbelt kriterium baserat på vilken typ av informationshanterande näringsidkare som behandlar den personliga informationen och ändamålet med behandlingen. Mer specifikt tillämpas undantag på i) sändningsföretag, tidningsutgivare, kommunikationsbyråer eller andra pressorganisationer (inbegripet alla individer som bedriver pressverksamhet som sin näring) i den mån de behandlar personlig information för pressändamål, ii) personer som professionellt ägnar sig åt skrivande, i den mån detta inbegriper personlig information, iii) universitet och andra organisationer eller grupper med inriktning på akademiska studier, eller varje person som tillhör en sådan organisation eller grupp, i den mån de behandlar personlig information i samband med akademiska studier, iv) religiösa organisationer i den mån de behandlar personlig information för religiösa verksamhetsändamål (inbegripet alla relaterade aktiviteter) och v) politiska organ, i den mån de behandlar personlig information för politiska verksamhetsändamål (inbegripet all relaterad verksamhet). Behandling av personuppgifter för ett av de ändamål som förtecknas i artikel 76 av andra typer av informationshanterande näringsidkare samt behandling av personlig information av en av de förtecknade informationshanterande näringsidkarna för andra ändamål, till exempel i anställningssammanhang, fortsätter att omfattas av bestämmelserna i kapitel IV.

38)

För att säkerställa en adekvat skyddsnivå för personuppgifter som överförs från Europeiska unionen till näringsidkare i Japan bör enbart behandling av personlig information som omfattas av kapitel IV i personuppgiftslagen – dvs. en informationshanterande näringsidkare i den mån som behandlingssituationen inte motsvarar något av undantagen för vissa sektorer – omfattas av detta beslut. Dess räckvidd bör därför anpassas till terminologin i personuppgiftslagen. När en informationshanterande näringsidkare som omfattas av detta beslut ändrar syftet med användningen (i den mån detta är tillåtet) och sedan kommer att omfattas av ett av de sektorsspecifika undantagen i artikel 76 i personuppgiftslagen, skulle detta, enligt uppgift från nämnden, anses vara en internationell överföring (eftersom behandlingen av personuppgifter i fall som detta inte längre skulle omfattas av kapitel IV i personuppgiftslagen och därmed faller utanför direktivets tillämpningsområde). Detsamma gäller om en informationshanterande näringsidkare förser en enhet som omfattas av artikel 76 i personuppgiftslagen med uppgifter som ska användas för ett av de behandlingsändamål som anges i den bestämmelsen. I fråga om personuppgifter som överförs från Europeiska unionen, skulle detta med andra ord utgöra en vidare överföring som omfattas av relevanta skyddsåtgärder (särskilt de som anges i artikel 24 i personuppgiftslagen och de kompletterande reglerna 4)). Om den informationshanterande näringsidkaren arbetar med den registrerades samtycke (25), måste vederbörande förse näringsidkaren med alla nödvändiga uppgifter, också att personuppgifterna inte längre skyddas av regler personuppgiftslagen.

39)

Personuppgifter ska behandlas för ett specifikt ändamål och därefter användas endast i den utsträckning som detta är förenligt med behandlingens ändamål. Denna princip för uppgiftsskydd säkerställs i artiklarna 15 och 16 i personuppgiftslagen.

40)

Personuppgiftslagen bygger på principen att en näringsidkare måste ange ändamålet med användningen ”så tydligt som möjligt” (artikel 15.1) och att vederbörande därefter är bunden av ändamålet vid behandlingen av uppgifterna.

41)

I artikel 15.2 i personuppgiftslagen föreskrivs att det ursprungliga ändamålet inte får ändras av den informationshanterande näringsidkaren ”utöver det tillämpningsområde som rimligen anses relevant för det ändrade ändamålet med användningen”, som det tolkas i nämndens riktlinjer motsvarande vad som objektivt kan förutses av den registrerade på grundval av ”normala sociala konventioner” (26).

42)

Enligt artikel 16.1 i personuppgiftslagen är det dessutom förbjudet för informationshanterande näringsidkare att hantera personlig information längre ”än den period som är nödvändig för att uppnå ett visst syfte med användningen” som fastställs i artikel 15 utan att på förhand få den registrerades samtycke, såvida inte något av undantagen i artikel 16.3 är tillämpligt (27).

43)

I fråga om personlig information som erhållits från en annan näringsidkare är den informationshanterande näringsidkaren i princip fri att välja ett nytt syfte med användningen (28). För att säkerställa att en sådan mottagare, i samband med en överföring från Europeiska unionen, förblir bunden av det ändamål enligt vilket uppgifterna överfördes krävs enligt tilläggsregel 3, att ”om en näringsidkare tar emot personuppgifter från EU på grundval av ett beslut om adekvat skyddsnivå”, eller ”en sådan operatör tar emot personuppgifter från en annan näringsidkare som tidigare överförts från EU på grundval av ett beslut om adekvat skyddsnivå” (vidarebefordran), måste stödmottagaren ”ange ändamålet med användningen av de berörda personuppgifterna inom tillämpningsområdet för det ändamål enligt vilket uppgifterna ursprungligen eller senare erhållits”. Med andra ord säkerställer regeln att det ändamål som anges i enlighet med förordning (EU) 2016/679, i samband med en överlåtelse, fortsätter att avgöra behandlingen, och att en ändring av detta ändamål under något skede av bearbetningen i Japan skulle kräva samtycke från den registrerade i EU. Den informationshanterande näringsidkaren måste kontakta den registrerade för att få detta godkännande, och upprätthålla det ursprungliga ändamålet om det inte går att ta den kontakten.

44)

Det tilläggsskydd som avses i skäl 43 är desto mer relevant, eftersom det är genom principen om begränsning av ändmålet som det japanska systemet säkerställer att personuppgifter behandlas på ett lagenligt och korrekt sätt.

45)

När en informationshanterande näringsidkare samlar in personlig information är vederbörande enligt personuppgiftslagen skyldig att ingående ange ändamålet med att använda personlig information (29) och utan dröjsmål underrätta den registrerade (eller offentliggöra) om detta syfte med användningen (30). I artikel 17 i personuppgiftslagen föreskrivs att en näringsidkare inte ska förvärva personlig information genom bedrägeri eller på andra olämpliga vägar. Vad gäller vissa kategorier av uppgifter, såsom personlig information som kräver särskild hantering, kräver insamlingen av dem den registrerades samtycke (artikel 17.2 i personuppgiftslagen).

46)

Som framgår av förklaringen i skälen 41 och 42 är informationshanterande näringsidkare följaktligen förbjudna att behandla personlig information för andra ändamål, såvida inte den registrerade ger sitt samtycke till sådan behandling eller om något av undantagen enligt artikel 16.3 i personuppgiftslagen är tillämpligt.

47)

När det gäller att förse en tredje part med ytterligare personlig information (31), föreskrivs i artikel 23.1 i personuppgiftslagen slutligen begränsningar av sådant utlämnande till särskilda fall, med förhandsgodkännande av den registrerade som allmän regel (32). I artikel 23.2, 3 och 4 i personuppgiftslagen föreskrivs undantag från kravet på att inhämta samtycke. Dessa undantag är tillämpliga endast på icke-känsliga uppgifter och kräver att näringsidkaren på förhand har underrättat de berörda individerna om sin avsikt att lämna ut deras personliga information till en tredje part och möjligheten att invända mot ytterligare utlämnande (33).

48)

Vad gäller överföringar från Europeiska unionen, kommer personuppgifter först att ha samlats in och behandlats i EU i enlighet med förordning (EU) 2016/679. Detta inbegriper, å ena sidan, alltid insamling och bearbetning, inbegripet för överföring från Europeiska unionen till Japan, på grundval av någon av de rättsliga grunder som förtecknas i artikel 6.1 i förordningen, och, å den andra, insamling för särskilda, specifika och berättigade ändamål samt förbud mot ytterligare behandling, inbegripet genom en överföring på ett sätt som är oförenligt med sådana ändamål enligt artiklarna 5.1 b och 6.4 i förordningen.

49)

Efter överföringen, enligt tilläggsregel 3, måste den informationshanterande näringsidkare som tar emot uppgifterna ”bekräfta” de särskilda ändamål som överföringen vilar på (dvs. det ändamål som anges i enlighet med förordning (EU) 2016/679) och ytterligare behandla dessa uppgifter i enlighet med dessa ändamål (34). Detta betyder inte bara att den första förvärvaren av sådana personuppgifter i Japan, utan även eventuella framtida mottagare av uppgifterna, inbegripet en förvaltare, är bundna av de(t) ändamål som anges i förordningen.

50)

Om den informationshanterande näringsidkaren vidare skulle vilja ändra det syfte som tidigare angivits i förordning (EU) 2016/679, enligt artikel 16.1 i personuppgiftslagen, skulle det i princip åligga vederbörande att inhämta den registrerades samtycke. Utan sådant samtycke skulle all behandling av uppgifter som går längre än nödvändigt för att uppnå ändamålet med användningen innebära en överträdelse av artikel 16.1, vilken nämnden och domstolarna är ansvariga för att beivra.

51)

Eftersom en överföring enligt förordning (EU) 2016/679 kräver en giltig rättslig grund och ett specifikt ändamål, vilka återspeglas i det syfte med användningen som ”bekräftas” enligt personuppgiftslagen, särkerställer kombinationen av de tillämpliga bestämmelserna i personuppgiftslagen och tilläggsregel 3 fortsatt lagenlighet i behandlingen av uppgifter från EU i Japan.

52)

Uppgifterna ska vara korrekta och, om nödvändigt, hållas uppdaterade. De bör också vara adekvata, relevanta och inte omfatta mer än vad som krävs för de ändamål för vilka de behandlas.

53)

Dessa principer säkerställs i japansk lagstiftning genom artikel 16.1 i personuppgiftslagen, som förbjuder hantering av personlig information utöver ”det erforderliga handlingsutrymmet för att uppnå ett användningsändamål”. Som nämnden klargjort, utesluter detta inte bara inadekvat och överdriven användning av uppgifter (utöver vad som är nödvändigt för att uppnå syftet med användningen), utan också ett förbud mot att hantera uppgifter som inte är relevanta för ändamålet med användningen.

54)

Vad gäller skyldigheten att hålla uppgifter korrekta och aktuella, krävs det enligt artikel 19 i personuppgiftslagen att den informationshanterande näringsidkaren ”eftersträvar att hålla personuppgifter korrekta och uppdaterade inom den erforderliga ramen för att uppnå ett syfte med användningen”. Denna bestämmelse ska läsas tillsammans med artikel 16.1 i personuppgiftslagen: Om en informationshanterande näringsidkare inte uppfyller de fastställda normerna för korrekthet, kommer behandlingen av den personliga informationen, enligt nämndens klargöranden, inte att anses uppnå ändamålet med användningen, och därmed kommer hanteringen att vara olaglig enligt artikel 16.1.

55)

Uppgifter ska i princip inte lagras under längre tid än vad som krävs för de syfte som personuppgifterna behandlas för.

56)

Enligt artikel 19 i personuppgiftslagen är informationshanterande näringsidkare skyldiga att ”eftersträva […] att radera personuppgifter utan dröjsmål, när användningen av dem inte längre är nödvändig”. Denna bestämmelse måste läsas tillsammans med artikel 16.1 i personuppgiftslagen, som förbjuder hantering av personlig information utöver ”det erforderliga handlingsutrymmet för att uppnå ändamålet med användningen”. När ändamålet med användningen uppnåtts, kan behandlingen av personlig information inte längre anses nödvändigt och får därför inte längre fortsätta (såvida inte den informationshanterande näringsidkaren får den registrerades samtycke).

57)

Personuppgifter bör behandlas på ett sätt som säkerställer att säkerheten garanteras, vilket inbegriper skydd mot obehörig eller otillåten behandling och mot oavsiktlig förlust, förstöring eller skada. I detta syfte bör de ekonomiska aktörerna vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från eventuella hot. Dessa åtgärder bör utvärderas med hänsyn till den senaste tekniken och kostnaderna.

58)

Denna princip är införlivad i japansk lagstiftning genom artikel 20 i personuppgiftslagen, enligt vilken den informationshanterande närigsidkaren ”ska vidta nödvändiga och lämpliga åtgärder för att säkerställa kontrollen över personuppgifter, också genom att förebygga att de hanterade personuppgifterna läcker ut, går förlorade eller skadas.” I riktlinjerna från nämnden anges vilka åtgärder som ska vidtas, bl.a. metoderna för att etablera grundläggande praxis, databehandlingsregler och olika ”kontrollåtgärder” (avseende såväl organisationssäkerheten som personlig, fysisk och teknisk säkerhet) (35). Dessutom innehåller nämndens riktlinjer och ett särskilt meddelande (tillägg 8 om ”Innehållet i de nödvändiga åtgärderna för säkerhetsadministration”), som offentliggjorts av nämnden, ingående uppgifter om åtgärder om säkerhetstillbud med t.ex. läckor som inbegriper personlig information, som ett led i de åtgärder som ska vidtas av informationshanterande näringsidkare (36).

59)

När personlig information vidare hanteras av anställda eller underleverantörer, ska ”nödvändig och lämplig övervakning” säkerställas enligt artiklarna 20 och 21 i personuppgiftslagen för ändamål som avser säkerhetskontroll. Enligt artikel 83 i personuppgiftslagen är avsiktligt läckage eller stöld av personliga uppgifter slutligen belagt med ett straff på högst ett års fängelse.

60)

De registrerade bör underrättas om de viktigaste dragen i behandlingen av sina personuppgifter.

61)

Enligt artikel 18.1 i personuppgiftslagen är den informationshanterande näringsidkaren skyldig att göra uppgifter om ändamålet med användningen av den personliga informationen tillgängliga för den registrerade, med undantag av ”fall i vilka ändmålet med användningen har gjorts allmänt känt”. Samma skyldighet gäller i fall av en tillåten ändring av ändamålet (artikel 18.3). Därigenom säkerställs också att den registrerade är underrättad om att hans/hennes uppgifter har samlats in. Även om personuppgiftslagen inte innehåller något generellt krav om att den informationshanterande näringsidkaren ska upplysa den registrerade om de förväntade mottagarna av personliga information i det skedet av insamlingen, är sådan information ett nödvändigt villkor för varje påföljande utlämnande av information till en tredje part (mottagare) på grundval av artikel 23.2, dvs. när detta sker utan föregående samtycke från den registrerade.

62)

Vad gäller ”lagrade personuppgifter”, föreskrivs det i artikel 27 i personuppgiftslagen att den informationshanterande näringsidkaren ska underrätta den registrerade om sin identitet (kontaktuppgifter), ändamålet med användningen och förfarandena för att besvara en begäran om den registrerades individuella rättigheter enligt artiklarna 28, 29 och 30 i personuppgiftslagen.

63)

Liksom enligt tilläggsreglerna kommer personuppgifter som överförs från Europeiska unionen att betraktas som ”lagrade personuppgifter” oberoende av lagringstiden (såvitt den inte omfattas av undantag), och kommer alltid att omfattas av öppenhetskraven enligt båda de ovannämnda bestämmelserna.

64)

Både kraven i artikel 18 och skyldigheten att informera om ändamålet med användningen enligt artikel 27 i personuppgiftslagen är föremål för samma undantag, oftast på grundval av hänsyn som rör allmänintresset och skyddet av rättigheter och intressen som tillkommer den registrerade, tredje part och den personuppgiftsansvarige (37). Enligt tolkningen i nämndens riktlinjer, är dessa undantag tillämpliga i mycket specifika situationer, t.ex. om uppgifterna om ändamålet med användningen skulle undergräva näringsidkarens legitima åtgärder till skydd för vissa intressen (t.ex. kampen mot bedrägerier, ekonomiskt spionage eller sabotage).

65)

Specifika skyddsåtgärder bör vidtas när ”särskilda kategorier av uppgifter” behandlas.

66)

”Personlig information som kräver särskild behandling” definieras i artikel 2.3 i personuppgiftslagen. I bestämmelsen hänvisas till ”personlig information som avser huvudmannens ras, tro, sociala ställning, sjukdomshistoria, uppgifter ur belastningsregistret, erfarenheten av att ha lidit skada av ett brott eller andra uppgifter och liknande, som föreskrivs genom regeringsbeslut såsom uppgifter vilka kräver särskild behandling för att inte orsaka orättvis diskriminering, fördomar eller andra nackdelar för huvudmannen.” Dessa kategorier motsavarar till stor del förteckningen över känsliga uppgifter i artiklarna 9 och 10 i förordning (EU) 2016/679. Särskilt ”sjukdomshistoria” motsvarar hälsouppgifter, medan ”belastningsregistret och erfarenheten av att ha lidit skada av ett brott” i huvudsak är identiska med de kategorier som avses i artikel 10 i förordning (EU) 2016/679. De kategorier som avses i artikel 2.3 i personuppgiftslagen är föremål för ytterligare tolkning i regeringsbeslutet och nämndens riktlinjer. Enligt avsnitt 2.3 stycke 8 i nämndens riktlinjer tolkas underkategorierna av ”sjukdomshistoria” i artikel 2 ii) och iii) i regeringsbeslutet som att de inbegriper genetiska och biometriska uppgifter. Även om förteckningen inte uttryckligen omfattar begreppen ”etniskt ursprung” och ”politisk åskådning”, innehåller den hänvisningar till ”ras” och ”trosuppfattning”. Som framgår av avsnitt 2.3 styckena 1 och 2 i nämndens riktlinjer omfattar hänvisningen till ”ras””etniska band eller anknytning till en viss del av världen”, medan ”trosuppfattning” ska förstås sålunda att det inbegriper såväl religiösa som politiska uppfattningar.

67)

Såsom framgår av formuleringen i bestämmelsen är detta inte en uttömmande förteckning, eftersom ytterligare kategorier av uppgifter kan läggas till i den mån deras behandling skapar en risk för ”orättvis diskriminering, fördomar eller andra nackdelar för huvudmannen”.

68)

Eftersom begreppet ”känsliga” uppgifter till sin natur är en social konstruktion, som bl.a. bygger på ett samhälles kulturella och rättsliga traditioner, moraliska överväganden och politiska vägval, och med tanke på vikten av att säkerställa adekvata skyddsåtgärder för känsliga uppgifter när de överförs till näringsidkare i Japan, har kommissionen utverkat att det särskilda skydd som ges ”personlig information som kräver särskild behandling” enligt japansk lag utvidgas till alla kategorier som definieras som ”känsliga uppgifter” i förordning (EU) 2016/679. För detta ändamål föreskrivs det i tilläggsregel 1 att uppgifter som överförs från Europeiska unionen om den enskildes sexualliv, sexuella läggning eller medlemskap i fackförening av den informationshanterande näringsidkaren ska behandlas ”på samma sätt som personlig information som kräver särskild behandling i den mening som avses i artikel 2.3 i personuppgiftslagen”.

69)

Vad gäller de ytterligare materiella skyddsåtgärder tillämpliga på personlig information som kräver särskild behandling enligt artikel 17.2 i personuppgiftslagen, har de informationshanterande näringsidkarna inte tillåtelse att förvärva sådana uppgifter utan föregående samtycke från den enskilde, med förbehåll endast för ett begränsat antal undantag (38). Denna kategori av personlig information är dessutom undantagen från möjligheten att lämnas ut till tredje part på grundval av det förfarande som föreskrivs enligt artikel 23.2 i personuppgiftslagen (vilket möjliggör överföring av uppgifter till tredje part utan den enskildes samtycke).

70)

Enligt principen om ansvarsskyldighet är enheter som behandlar uppgifter skyldiga att införa lämpliga tekniska och organisatoriska åtgärder för att effektivt fullgöra sina skyldigheter att skydda uppgifter och kunna uppvisa sådan överensstämmelse, särskilt för den behöriga tillsynsmyndigheten.

71)

Som framgår av fotnot 34 (skäl 49) är informationshanterande näringsidkare, enligt artikel 26.1 i personuppgiftslagen, skyldiga att genomföra en identitetskontroll av en tredje part som förser dem med personuppgifter och kontrollera de ”omständigheter” under vilka sådana uppgifter erhållits från tredje part (när personuppgifter omfattas av detta beslut, ska dessa omständigheter enligt personuppgiftslagen och tilläggsregel 3 inbegripa både det faktum att de uppgifterna härrör från Europeiska unionen och syftet med den ursprungliga uppgiftsöverföringen). Bland annat syftar den åtgärden till att säkerställa uppgiftshanteringens laglighet genom hela kedjan av informationshanterande näringsidkare. Enligt artikel 26.3 i personuppgiftslagen är informationshanterande näringsidkare dessutom skyldiga att föra register över mottagandedag och (obligatoriska) uppgifter som erhållits från tredje part enligt punkt 1, samt namnet på den berörda individen (den registrerade), de kategorier av uppgifter som behandlas och, i den mån det är relevant, det faktum att individen har gett sitt medgivande till att dela sina personuppgifter. Enligt artikel 18 i nämndens regler ska dessa register bevaras under en period av minst ett till tre år, beroende på omständigheterna. Vid fullgörandet av sina uppgifter kan nämnden kräva att sådana register överlämnas till den (39).

72)

Informationshanterande näringsidkare måste omgående och på lämpligt sätt hantera klagomål från berörda individer om behandlingen av deras personliga information. För att underlätta hanteringen av klagomål ska de införa det ”system som krävs för att uppnå [detta] syftet”, vilket innebär att de bör införa lämpliga förfaranden inom sin organisation (till exempel fördela ansvar eller tillhandahålla en kontaktpunkt).

73)

Slutligen anger personuppgiftslagen en ram, inom vilken sektorsinriktade branschorganisationer kan delta i säkerställandet av en hög efterlevnadsgrad (se kapitel IV, avsnitt 4). Sådana organisationer ackrediterade för skydd av personlig information (40) ska främja skyddet av personlig information genom att bistå företag med sin sakkunskap, men också att bidra till genomförandet av skyddsåtgärder, framför allt genom att hantera enskilda klagomål och bistå i arbetet med att lösa relaterade konflikter. För detta ändamål kan de begära att deltagande informationshanterande näringsidkare, om lämpligt, vidtar nödvändiga åtgärder (41). I fall av dataintrång eller andra säkerhetsincidenter ska näringsidkare i princip underrätta både nämnden och den registrerade (eller allmänheten) och vidta nödvändiga åtgärder, inbegripet åtgärder för att minimera eventuell skada och förhindra eventuella upprepningar av liknande incidenter (42). Medan dessa system är frivilliga, hade nämnden den 10 augusti 2017 förtecknat 44 organisationer, varav den största av dem, Japanskt centrum för behandling och utveckling av information, ensam omfattar 15 436 deltagande näringsidkare (43). Ackrediterade system omfattar sektorssammanslutningar såsom japanska föreningen för värdepappersmäklare, japanska trafikskoleföreningen eller föreningen för äktenskapsförmedlare (44).

74)

Organisationer ackrediterade för skydd av personlig information inkommer med årliga verksamhetsrapporter. Enligt ”Översikt över situationen för genomförandet av personuppgiftslagen under budgetåret 2015” som offentliggörs av nämnden har organisationer ackrediterade för skydd av personlig information mottagit totalt 442 anmälningar, begärt in 123 förklaringar från näringsidkare inom deras jurisdiktion, begärt in handlingar från dessa aktörer i 41 fall, lämnat 181 instruktioner och gjort två rekommendationer (45).

75)

Den erforderliga skyddsnivån för personuppgifter som överförs från unionen till näringsidkare i Japan får inte undergrävas av ytterligare överföring av personuppgifter till mottagare i ett tredjeland utanför Japan. Sådana ”vidare överföringar”, som från den japanska näringsidkarens synpunkt utgör internationella överföringar från Japan, bör tillåtas endast om den ytterligare mottagaren utanför Japan själv omfattas av regler som säkerställer en skyddsnivå som är likvärdig den som säkerställs i den japanska rättsordningen.

76)

Ett första skydd är inskrivet i artikel 24 i personuppgiftslagen, som innehåller ett generellt förbud mot överföring av personuppgifter till en tredje part utanför Japans territorium utan föregående samtycke från den enskilde. I tilläggsregel 4 säkerställs, att i fall av uppgiftsöverföringar från Europeiska unionen kommer sådant samtycke att vara särskilt välinitierat, eftersom berörd enskild enligt bestämmelsen ska ”förses med upplysningar om omständigheterna kring den överföring som är nödvändig för att huvudmannen ska kunna ta ställning till samtycke”. På grundval av detta ska den registrerade underrättas om det faktum att uppgifterna kommer att överföras till utlandet (utanför tillämpningsområdet för personuppgiftslagen) och det specifika destinationslandet. Det gör att vederbörande kan bedöma risken för den personliga integriteten i samband med överföringen. Som framgår av artikel 23 i personuppgiftslagen (se skäl 47) bör de uppgifter som lämnats till den huvudansvarige omfatta obligatoriska poster enligt punkt 2, det vill säga de kategorier av personuppgifter som lämnas ut till en tredje part och metoden för offentliggörandet.

77)

I artikel 24 i personuppgiftslagen, tillämpad tillsammans med artikel 11.2 i nämndens regler, föreskrivs flera undantag från denna samtyckesgrundade regel. Enligt artikel 24 är vidare samma undantag som de vilka är tillämpliga enligt artikel 23.1 i personuppgiftslagen tillämpliga också på internationella uppgiftsöverföringar (46).

78)

För att säkerställa ett kontinuerligt skydd för de personuppgifter som överförs från Europeiska unionen till Japan i enlighet med detta beslut höjer tilläggsregel 4 skyddsnivån för den informationshanterande näringsidkarens vidare överföring av sådana uppgifter till en mottagare i ett tredjeland. Detta sker genom en begränsning och inramning av grunderna för internationella överföringar som den informationshanterande näringsidkaren kan använda som ett alternativ till samtycke. Mer specifikt, och utan att detta påverkar de undantag som anges i artikel 23.1 i personuppgiftslagen, får personuppgifter som överförts enligt detta beslut endast i två fall göras till föremål för (vidare) överföring utan samtycke: i) om uppgifterna översänds till ett tredjeland som har erkänts av nämnden enligt artikel 24 i personuppgiftslagen som ger en skyddsnivå motsvarande den som säkerställs i Japan (47), eller ii) om den informationshanterande näringsidkaren och den tredje parten gemensamt har genomfört åtgärder som erbjuder en skyddsnivå motsvarande personuppgiftslagen, jämförd med den i tilläggsreglerna, enligt avtal, andra former av bindande överenskommelser eller bindande avtal inom en koncern. Den andra kategorin motsvarar de instrument som används enligt förordning (EU) 2016/679 för att säkerställa lämpliga skyddsåtgärder (särskilt avtalsvillkor och bindande företagsregler). Såsom bekräftat av nämnden omfattas överföringen också i dessa fall av de allmänna regler som gäller allt tillhandahållande av personuppgifter till en tredje part enligt personuppgiftslagen (dvs. kravet på att erhålla samtycke enligt artikel 23.1 eller, alternativt, informationskravet med en möjlighet till undantag enligt artikel 23.2 i personuppgiftslagen). Om den registrerade inte kan nås med en begäran om godkännande eller i syfte att tillhandahålla den nödvändiga förhandsinformationen enligt artikel 23.2 i personuppgiftslagen, får överlåtelsen inte äga rum.

79)

Utöver de fall i vilka nämnden har konstaterat att det berörda tredjelandet säkerställer en skyddsnivå motsvarande den som säkerställs av personuppgiftslagen (48), utesluter kraven i tilläggsregel 4 användningen av överföringsinstrument som inte upprättar ett tvingande samband mellan den japanska uppgiftsutföraren och uppgiftsinföraren i tredjeland och som inte säkerställer den nödvändiga skyddsnivån. Detta gäller exempelvis Apecländernas gränsöverskridande regelsystem för den personliga integriteten, där Japan är en ekonomi som deltar (49), eftersom skyddet i det systemet inte följer av ett avtal som binder utföraren och införaren i samband med sina bilaterala förbindelser och är klart lägre än den nivå som säkerställs vid en sammanläggning av personuppgiftslagen och tilläggsreglerna (50).

80)

En ytterligare skyddsåtgärd i fråga om (vidare) överföring följer slutligen av artiklarna 20 och 22 i personuppgiftslagen. Dessa bestämmelser innebär att när en operatör från tredjeland (uppgiftsinföraren) handlar på uppdrag av den informationshanterande näringsidkaren (uppgiftsutföraren), dvs. som registerförare (eller ställföreträdande registerförare), måste den senare säkerställa tillsynen över den förre när det gäller säkerheten i samband med databehandling.

81)

Liksom i EU:s dataskyddslagstiftning, tillförsäkras den enskilde ett antal lagstadgade rättigheter enligt personuppgiftslagen. Däribland ingår rätten till tillgång (”utlämnande”), rättelse och radering samt rätten att vägra användning (”användning upphör”) av information.

82)

Enligt artikel 28.1 och 2 i personuppgiftslagen har den registrerade för det första rätt att uppmana en informationshanterande näringsidkare att ”lämna ut lagrade personuppgifter som möjliggör identifiering av honom eller henne”. Efter mottagandet av en sådan uppmaning ska den informationshanterande näringsidkaren ”lämna ut lagrade personuppgifter” till den registrerade. Artikel 29 (rätt till rättelse) och 30 (rätt till utnyttjande upphör) har samma struktur som artikel 28.

83)

I artikel 9 i regeringsbeslutet anges att utlämnande av personlig information som avses i artikel 28.2 i personuppgiftslagen ska göras skriftligen, om inte den informationshanterande näringsidkaren och den registrerade har kommit överens om annat.

84)

Dessa rättigheter är föremål för tre typer av begränsningar, som rör den enskildes eller tredje parts rättigheter och intressen (51), allvarlig påverkan i den informationshanterande näringsidkarens verksamhet (52) samt fall i vilka ett utlämnande skulle strida mot andra lagar eller författningar (53). De situationer i vilka dessa begränsningar vore tillämpliga liknar vissa av de undantag som tillämpas enligt artikel 23.1 i förordning (EU) 2016/679, som medger begränsningar av enskildas rättigheter av skäl som gäller ”skydd av den registrerade eller andras rättigheter och friheter” eller ”övriga viktiga mål av allmänt intresse”. Även om kategorin av fall i vilka ett utlämnande skulle strida mot ”andra lagar eller författningar” kan framstå som omfattande, måste lagar och förordningar om begränsningar i detta avseende beakta den grundlagsstadgade rätten till personlig integritet och får införa begränsningar endast i den mån utövandet av denna rättighet skulle ”påverka den allmänna välfärden” (54). Detta kräver en avvägning mellan berörda intressen.

85)

Enligt artikel 28.3 i personuppgiftslagen gäller, att om de begärda uppgifterna inte finns eller den berörda informationshanterande näringsidkaren beslutar att inte bevilja tillgång till de lagrade uppgifterna, är denne skyldig att utan dröjsmål underrätta den enskilde därom.

86)

Enligt artikel 29.1 och 2 i personuppgiftslagen har en registrerad, för det andra, rätt att begära rättelse, tillägg eller radering av lagrade personuppgifter ifall dessa är felaktiga. Vid mottagandet av en sådan framställan ska den informationshanterande näringsidkaren ”[…] genomföra en nödvändig utredning” och på grundval av resultaten därav ”göra en korrigering osv. av de lagrade uppgifternas innehåll”.

87)

Enligt artikel 30.1 och 2 i personuppgiftslagen har den registrerade, för det tredje, rätt att uppmana en informationshanterande näringsidkare att upphöra med användningen av den personliga informationen, eller att radera sådan information, om den hanteras i strid med artikel 16 (om begränsning av ändamål) eller har förvärvats i strid med artikel 17 i personuppgiftslagen (avseende förvärv genom bedräglighet, andra oegentliga tillvägagångssätt eller, i fråga om känsliga uppgifter, utan samtycke). Enligt artikel 30.3 och 4 i personuppgiftslagen har den enskilde likaledes rätt att begära att den informationshanterande näringsidkaren upphör med att förse en tredje part med uppgifter, om detta skulle strida mot bestämmelserna i artikel 23.1 eller artikel 24 i personuppgiftslagen (när det gäller uppgifter till tredje part, även för internationella överföringar).

88)

Om begäran är motiverad, ska den informationshanterande näringsidkaren utan dröjsmål avbryta användningen av uppgifterna, eller tillhandahållandet till tredje part, i den mån så är nödvändigt för att avhjälpa överträdelserna eller, om ett fall omfattas av ett undantag (särskilt om användningen inte längre skulle orsaka särskilt höga kostnader) (55), vidta nödvändiga alternativa åtgärder till skydd för berörd enskilds rättigheter och intressen.

89)

Till skillnad från EU-rätten innehåller personuppgiftslagen och andra regler inte några lagbestämmelser med särskild inriktning på möjligheten att invända mot behandling av personuppgifter för ändamål som gäller direkt marknadsföring. Sådan behandling kommer emellertid, enligt detta beslut, att äga rum i samband med en överföring av personuppgifter som tidigare har samlats in i EU. Enligt artikel 21.2 i förordning (EU) 2016/679, ska den registrerade alltid ha möjligheten att invända mot en överföring av uppgifter som behandlas i samband med direkt marknadsföring. Som framgår av förklaringen i skäl 43 i tilläggsregel 3, åligger det en informationshanterande näringsidkare att behandla de uppgifter som mottagits enligt beslutet för det ändamål för vilket uppgifterna har överförts från Europeiska unionen, såvida inte den registrerade samtycker till att ändra ändamålet för användningen. Om överföringen har gjorts för andra ändamål än direkt marknadsföring, kommer en informationshanterande näringsidkare i Japan således att utestängas från bearbetning av uppgifterna för direkt marknadsföring utan samtycke från den registrerade i EU.

90)

I samtliga fall som avses i artiklarna 28 och 29 i personuppgiftslagen är den informationshanterande näringsidkaren skyldig att utan dröjsmål meddela den enskilde om resultatet av vederbörandes begäran, och dessutom att förklara alla (partiella) avslag som bygger på de obligatoriska undantag som föreskrivs i artiklarna 27–30 (artikel 31 i personuppgiftslagen).

91)

Vad gäller villkoren för en begäran, medger artikel 32 i personuppgiftslagen (tillsammans med regeringsbeslutet) att den informationshanterande näringsidkaren fastställer skäliga förfaranden, inbegripet för de uppgifter som krävs för att identifiera de lagrade personuppgifterna. Enligt punkt 4) i denna artikel får de informationshanterande näringsidkarna ålägga en ”huvudman orimlig börda”. I vissa fall kan de informationshanterande näringsidkarna också införa avgifter så länge som beloppet håller sig ”inom de gränser som anses rimliga med hänsyn till faktiska kostnader” (artikel 33 i personuppgiftslagen).

92)

Slutligen kan den enskilde enligt artikel 23.2 i personuppgiftslagen motsätta sig att en tredje part förses med vederbörandes personliga information, eller vägra samtycke enligt artikel 23.1 (vilket förhindrar utlämnande om annan rättslig grund skulle saknas). Genom att vägra samtycke enligt artikel 16.1 personuppgiftslagen kan den enskilde också sätta stopp för behandlingen av uppgifter för ett annat ändamål.

93)

Till skillnad från EU-lagstiftningen innehåller personuppgiftslagen och andra regler inte några allmänna bestämmelser som avser frågan om beslut med inverkan på den registrerade och uteslutande grundar sig på automatisk behandling av personuppgifter. Frågan tas emellertid upp i vissa sektorsspecifika regler som gäller i Japan och som är särskilt relevanta för denna typ av behandling. Detta inbegriper sektorer där företag med stor sannolikhet använder sig av automatiserad behandling av personuppgifter för att fatta beslut som påverkar den enskilde (t.ex. finanssektorn). I de övergripande riktlinjerna för tillsyn av större banker, som reviderades i juni 2017, krävs det exempelvis att berörd enskild ges särskilda förklaringar till skälen för avslaget på begäran om att ingå ett låneavtal. Dessa regler ger skydd i det sannolikt tämligen begränsade antalet fall där automatiserade beslut kommer att fattas av den ”införande” japanska näringsidkaren (snarare än den ”utförande” personuppgiftsansvarige i EU).

94)

Vad gäller personuppgifter som samlats in i Europeiska unionen, kommer de beslut som bygger på automatisk insamling normalt att fattas av den registeransvarige i unionen (som har en direkt förbindelse med berörd registrerad). Därför omfattas besluten av förordning (EU) 2016/679 (56). Detta inbegriper fall av överföringar i vilka behandlingen sköts av en utländsk (t.ex. japansk) näringsidkare i en funktion som agent (personuppgiftsbiträde) på uppdrag av EU:s personuppgiftsansvarige (eller som delegerat personuppgiftsbiträde på uppdrag av EU:s personuppgiftsbiträde, som tagit emot uppgifterna från en personuppgiftsansvarig i EU som samlat in dem) som sedan fattar beslut på denna grundval. Avsaknaden av särskilda regler om automatiserat beslutsfattande i personuppgiftslagen kommer därför sannolikt inte att påverka omfattningen av skyddet av personuppgifter som överförs enligt detta beslut.

95)

För att säkerställa att en adekvat skyddsnivå för uppgifterna kan garanteras även i praktiken bör det inrättas en oberoende tillsynsmyndighet med befogenheter att övervaka och säkerställa efterlevnaden av reglerna om uppgiftsskydd. Denna myndighet bör agera helt oavhängigt och opartiskt vid fullgörandet av sina skyldigheter och utövandet av sina befogenheter.

96)

I Japan är nämnden den myndighet som övervakar och säkerställer att personuppgiftslagen genomförs. Den består av en ordförande och åtta ledamöter som utses av premiärministern, med samtycke av båda kamrarna i det japanska parlamentet. Mandatperioden för ordföranden och ledamöterna är fem år med möjlighet till förnyat mandat (artikel 64 i personuppgiftslagen). Nämndens ledamöter får endast avsättas på goda grunder och i ett begränsat antal undantagsfall (57) och får inte vara aktivt engagerade i politisk verksamhet. Enligt personuppgiftslagen måste heltidsledamöter avstå från all annan avlönad verksamhet eller affärsverksamhet. Ledamöterna är också föremål för interna regler som förhindrar dem ifrån att delta i överläggningar om en eventuell intressekonflikt. Nämnden biträds av ett sekretariat under ledning av en generalsekreterare, som har inrättats för att utföra de uppgifter som tilldelats nämnden (artikel 70 i personuppgiftslagen). Både ledamöterna och alla tjänstemän vid generalsekretariatet är bundna av strikta sekretessregler (artiklarna 72 och 82 i personuppgiftslagen).

97)

Nämndens befogenheter, som den fullgör helt oberoende (58), anges främst i artiklarna 40, 41 och 42 i personuppgiftslagen. Enligt artikel 40 får nämnden begära att den informationshanterande näringsidkaren ska rapportera eller inkomma med dokumentation om behandlingsförfaranden och får också genomföra inspektioner, både på plats och av bokföring eller andra handlingar. I den utsträckning det är nödvändigt för genomförandet av personuppgiftslagen, får nämnden också förse den informationshanterande näringsidkaren med vägledning eller rådgivning om hanteringen av personlig information. Nämnden har redan utnyttjat denna befogenhet enligt artikel 41 i personuppgiftslagen genom att inleda arbetet med riktlinjer för Facebook som en följd av avslöjandena om Facebooks samarbete med Cambridge Analytica.

98)

Viktigast är att nämnden har befogenhet att – till följd av ett klagomål eller på eget initiativ – utfärda rekommendationer och anvisningar för att i enskilda fall verkställa personuppgiftslagen och andra bindande regler (bl.a. tilläggsreglerna). Dessa befogenheter fastställs i artikel 42 i personuppgiftslagen. Medan det i punkterna 1 och 2 föreskrivs en tvåstegsmekanism, genom vilken nämnden får utfärda en anvisning (först) efter en rekommendation, medger punkt 3 att beslut fattas omedelbart i brådskande fall.

99)

Även om inte alla bestämmelser i kapitel IV, avsnitt 1 i personuppgiftslagen förtecknas i artikel 42.1 – som också avgör räckvidden för tillämpningen av artikel 42.2 – kan detta förklaras av det faktum att vissa av dessa bestämmelser inte berör den informationshanterande näringsidkarens skyldigheter (59) och att allt nödvändigt skydd redan erbjuds genom andra bestämmelser som ingår i förteckningen. Även om artikel 15 (enligt vilken det krävs att den informationshanterande näringsidkaren ska ange ändamålet för användningen och behandla relevant personlig information enbart inom sitt tillämpningsområde) inte nämns, kan underlåtenhet att iaktta detta krav vara skäl till en rekommendation, grundad på en överträdelse av artikel 16.1 (om förbud för informationshanterande näringsidkare att behandla personlig information utöver vad som är nödvändigt för att uppnå syftet med användningen, såvida denne inte får den registrerades samtycke) (60). En annan bestämmelse som inte förtecknas i artikel 42.1 är artikel 19 i personuppgiftslagen om uppgifters korrekthet och lagring. Bristande efterlevnad av den bestämmelsen kan hanteras antingen som en överträdelse av artikel 16.1 eller på grundval av en överträdelse av artikel 29.2, om berörd enskild begär rättelse eller radering av felaktiga eller alltför omfattande uppgifter och den informationshanterande näringsidkaren vägrar att tillmötesgå begäran. Vad gäller de registrerades rättigheter enligt artiklarna 28.1, 29.1 och 30.1, säkerställs nämndens tillsyn genom att den ges genomförandebefogenheter med avseende på den informationshanterande näringsidkarens motsvarande skyldigheter enligt dessa artiklar.

100)

Enligt artikel 42.1 i personuppgiftslagen kan nämnden, om den ser ett behov av att skydda den enskildes rättigheter och intressen i fall där en [informationshanterande näringsidkare] har överträtt” vissa bestämmelser i personuppgiftslagen, utfärda en rekommendation om att ”tillfälligt upphäva den verksamhet som lett till överträdelsen eller vidta andra nödvändiga åtgärder för att korrigera överträdelsen”. En sådan rekommendation är inte bindande, men öppnar vägen för en bindande anvisning enligt artikel 42.2 personuppgiftslagen. Om rekommendationen inte följs ”utan legitimt skäl” och nämnden ”inser att en allvarlig överträdelse av den enskildes rättigheter och intressen är nära förestående”, kan den, på grundval av denna bestämmelse, ålägga den informationshanterande näringsidkaren att vidta åtgärder i enlighet med rekommendationen.

101)

Tilläggsreglerna innebär att nämndens genomförandebefogenheter förtydligas och stärks. I fall rörande uppgifter som förs in från Europeiska unionen kommer nämnden särskilt att alltid bedöma en informationshanterande näringsidkares underlåtenhet att vidta åtgärder i enlighet med en rekommendation som, utan legitimt skäl, utfärdats enligt artikel 42.1 i personuppgiftslagen, såsom en överhängande allvarlig överträdelse av den enskildes rättigheter och intressen i den mening som avses i artikel 42.2, och därför som en överträdelse vilken motiverar utfärdandet av en bindande anvisning. Dessutom kommer nämnden som ”legitimt skäl” att inte efterkomma en rekommendation godta en ”händelse av extraordinärt slag [som förhindrar efterlevnad] utanför [den informationshanterande näringsidkarens] kontroll som inte rimligen kan förutses (t.ex. naturkatastrofer)” eller fall där nödvändigheten att vidta åtgärder avseende en rekommendation ”inte längre föreligger därför att den [informationshanterande näringsidkaren] har vidtagit alternativa åtgärder som till fullo avhjälper den överträdelsen”.

102)

Bristande efterlevnad av en anvisning från nämnden betraktas som en straffbar handling enligt artikel 84 i personuppgiftslagen, och en informationshanterande näringsidkare som befinns skyldig kan dömas till fängelse med straffarbete i så mycket som sex månader eller böter om högst 300 000 yen. Enligt artikel 85 i i personuppgiftslagen kan bristande samarbete med nämnden eller hindrande av dess utredning dessutom bestraffas med böter om högst 300 000 yen. Dessa straffrättsliga påföljder gäller utöver dem som kan tillämpas avseende materiella överträdelser av personuppgiftslagen (se skäl 108).

103)

För att säkerställa adekvat skydd, och i synnerhet tillämpningen av individuella rättigheter, bör den registrerade erbjudas möjligheten till faktisk administrativ och rättslig prövning, inbegripet ersättning för skador.

104)

Innan administrativ eller rättslig prövning begärs, eller i stället för en sådan begäran, kan den enskilde välja att inkomma med klagomål om behandlingen av sina personuppgifter till den registeransvarige. På grundval av artikel 35 i personuppgiftslagen ska informationshanterande näringsidkare eftersträva att ta itu med sådana klagomål ”på ett lämpligt och skyndsamt sätt” och inrätta interna system för klagomålshantering och för att uppnå detta mål. Enligt artikel 61 ii i personuppgiftslagen är nämnden dessutom ansvarig för ”den medling som krävs i ett fall av klagomål och det samarbete som erbjuds en näringsidkare som har med klagomålet att göra”, vilket i båda fallen även omfattar klagomål som lämnats in av utlänningar. I detta avseende har den japanska lagstiftaren också anförtrott regeringen uppgiften att vidta ”nödvändiga åtgärder” för att möjliggöra och underlätta för informationshanterande näringsidkare att hantera klagomål (artikel 9), medan lokala myndigheter ska eftersträva att säkerställa medling i fall som dessa (artikel 13). Detta innebär att den enskilde, utöver möjligheten att inkomma med klagomål till Japans nationella centrum för konsumentärenden, kan lämna in sitt klagomål till något av de drygt 1 700 konsumentcentrum som inrättats av lokala myndigheter på grundval av konsumentskyddslagen (61). Sådana klagomål kan också lämnas in med avseende på en överträdelse av personuppgiftslagen. Enligt artikel 19 i den grundläggande konsumentskyddslagen (62), ska lokala myndigheter eftersträva att inleda medling i fall av klagomål och förse parterna med nödvändig sakkunskap. Dessa mekanismer för tvistlösning tycks vara förhållandevis effektiva, med en lösningsgrad på 91,2 % för över 75 000 klagomål under 2015.

105)

Överträdelser av en bestämmelse i personuppgiftslagen begångna av en informationshanterande näringsidkare kan leda till såväl civilrättsliga som straffrättsliga förfaranden och påföljder. Om den enskilde anser att en överträdelse skett mot hans eller hennes rättigheter enligt artiklarna 28, 29 och 30 i personuppgiftslagen, kan vederbörande begära ett föreläggande från domstolen som ålägger den informationshanterande näringsidkaren att tillmötesgå denna begäran enligt någon av dessa bestämmelser, dvs. att lämna ut lagrade personuppgifter (artikel 28), korrigera lagrade personuppgifter som är felaktiga (artikel 29) eller att upphöra med olaglig behandling eller överföring till tredje part (artikel 30). En sådan talan får väckas utan stöd i artikel 709 i civilprocesslagen (63) eller på annat sätt i skadeståndslagstiftningen (64). Detta innebär framför allt att den enskilde inte behöver bevisa att han eller hon lidit skada.

106)

Om en påstådd överträdelse inte avser individuella rättigheter enligt artiklarna 28, 29 och 30, utan allmänna principer för uppgiftsskydd eller den informationshanterande näringsidkarens skyldigheter, kan berörd enskild, för det andra, väcka civilrättslig talan mot näringsidkaren enligt skadeståndbestämmelserna i den japanska civilprocesslagen, särskilt artikel 709. Medan en talan enligt artikel 709, vid sidan av vållande (uppsåt eller oaktsamhet), kräver att skada påvisas enligt artikel 710 i civilprocesslagen, kan en sådan skada vara både materiell och immateriell. Ersättningsbeloppet omfattas inte av någon begränsning.

107)

I fråga om tillgängliga rättsmedel hänvisas det i artikel 709 i den japanska civilprocesslagen till ekonomisk ersättning. I japansk rättspraxis har denna artikel emellertid också tolkats som att den medför rätten att får ett förbudsföreläggande (65). Om den registrerade väcker talan enligt artikel 709 i civilprocesslagen och yrkar att hans/hennes rättigheter eller intressen har skadats genom att svaranden begått en överträdelse mot en bestämmelse i personuppgiftslagen, kan yrkandet, förutom ersättning för skada, omfatta en begäran om förbudsföreläggande, framför allt för att stoppa all otillåten behandling.

108)

Utöver att tillgripa rättsmedel (skadestånd) enligt civilprocesslagen, kan en registrerad, för det tredje, rikta sitt klagomål till en offentlig åklagare eller tjänsteman vid kriminalpolisen med hänvisning till överträdelser av personuppgiftslagen, som kan leda till straffrättsliga påföljder. Kapitel VII i personuppgiftslagen innehåller ett antal straffrättsliga bestämmelser. Den viktigaste överträdelsen (artikel 84) avser en informationshanterande näringsidkare som underlåter att följa nämndens anvisning enligt artikel 42.2 och 3. Om en näringsidkare underlåter att följa en anvisning som utfärdats av nämnden, kan nämndens ordförande (liksom varje statstjänsteman) (66) överlämna ärendet till åklagarmyndigheten eller tjänsteman vid kriminalpolisen och därigenom utlösa ett straffrättsligt förfarande. Påföljden för brott mot en anvisning från nämnden är fängelse med straffarbete i högst sex månader eller böter om högst 300 000 yen. Andra bestämmelser i personuppgiftslagen som föreskriver påföljder i fall av överträdelser av personuppgiftslagen med inverkan på registrerades rättigheter och intressen omfattar artikel 83 i personuppgiftslagen (i fråga om ”tillhandahållande i hemlighet” av en databas med personlig information ”för […] olaglig vinnings skull”) och artikel 88 i i personuppgiftslagen (i fråga om underlåtenhet av tredje part att korrekt underrätta en informationshanterande näringsidkare när denne mottar personuppgifter enligt artikel 26.1 i personuppgiftslagen, framför allt om enskildheterna i den tredje partens eget, tidigare förvärv av sådana uppgifter). Påföljderna för sådana överträdelser av personuppgiftslagen är fängelse i högst ett år eller böter om högst 500 000 yen (artikel 83) eller en administrativ straffavgift om högst 100 000 yen (artikel 88 i). Samtidigt som risken för en straffrättslig påföljd i sig troligen har en starkt avskräckande effekt både på ledningen för det företag som är informationshanterande näringsidkare och personer som hanterar uppgifterna, klargörs det i artikel 87 i personuppgiftslagen att när ett ombud, en anställd eller andra arbetstagare i ett företag har begått en överträdelse enligt artiklarna 83–85 i personuppgiftslagen ”ska aktören straffas och böter som anges i respektive artiklar åläggas nämnda företag”. I detta fall kan både arbetstagaren och företaget åläggas påföljder upp till det högsta beloppet.

109)

Slutligen kan den enskilde också söka rättslig prövning av nämndens åtgärder eller underlåtenhet att vidta åtgärder. I dessa fall erbjuder japansk lagstiftning flera möjligheter till administrativ och rättslig prövning.

110)

Om den enskilde finner att de åtgärder som vidtas av nämnden inte är tillfredsställande, kan vederbörande inkomma med ett administrativt överklagande till förvaltningsdomstolen enligt lagen om administrativa överklaganden (67). Omvänt gäller följande: Om den enskilde anser att nämnden borde ha handlat, men underlåtit att göra så, kan vederbörande enligt artikel 36–3 i nämnda lag begära att nämnden utfärdar ett förordnande eller tillhandahåller administrativa riktlinjer, om den enskilde anser att ”ett förordnande eller administrativa riktlinjer som krävs för att korrigera överträdelsen inte har utfärdats eller införts”.

111)

I fråga om rättslig prövning kan en enskild individ som finner att ett förordnande utfärdat av nämnden inte är tillfredsställande, enligt förvaltningsprocesslagen begära att (68) domstolen ålägger nämnden att vidta ytterligare åtgärder (69). I vissa fall kan domstolen även utfärda en provisorisk anvisning om föreläggande för att förhindra irreparabel skada (70). Vidare kan den enskilde enligt samma lag begära ett återkallande av nämndens beslut (71).

112)

Slutligen kan den enskilde också väcka talan mot nämnden för att få statlig ersättning enligt artikel 1.1 i lagen om gottgörelse i fall där vederbörande har lidit skada till följd av att en anvisning utfärdad av nämnden till en näringsidkare varit rättsstridig eller nämnden inte har utövat sina befogenheter.

113)

Kommissionen har också bedömt begränsningarna och skyddsåtgärderna, inbegripet den japanska lagstiftningens mekanismer för tillsyn och enskild prövning avseende insamling och användning av personuppgifter som av myndigheter överförs till näringsidkare i Japan för att tillvarata allmänintresset, särskilt straffrättsliga ändamål som rör brottsbekämpning och den nationella säkerheten (”statlig tillgång till uppgifter”). Den japanska regeringen har försett kommissionen med officiella framställningar, utfästelser och åtaganden som undertecknats på ministernivå och inom de högsta organen. Dessa ingår i bilaga II till detta beslut.

114)

Statlig tillgång till uppgifter i Japan måste, då det rör sig om myndighetsutövning, ske under fullständig efterlevnad av lagen (legalitetsprincipen). Den japanska konstitutionen innehåller bestämmelser om detta som begränsar och reglerar myndigheters insamling av personuppgifter. Som redan nämnts med avseende på behandlingen av näringsidkarna, har Japans högsta domstol, på grundval av artikel 13 i konstitutionen som bland annat skyddar rätten till frihet, erkänt rätten till personlig integritet och skydd av personuppgifter (72). En viktig aspekt av denna rättighet är friheten att inte utan tillstånd få personlig information utlämnad till en tredje part (73). Detta innebär en rätt till ett faktiskt skydd av personuppgifter mot missbruk och (i synnerhet) olaglig tillgång till sådana uppgifter. Genom konstitutionens artikel 35 tillerkänns den enskilde ett tilläggsskydd i form av hemfridsrätt och säkerhet för dokument och tillhörigheter, som innebär att myndigheter måste begära att ett domstolsbeslut om ”adekvata skäl” (74) utfärdas i samtliga fall av ”husrannsakan och beslag”. I sin dom av den 15 mars 2017 (GPS-målet) klargjorde domstolen att detta beslutskrav alltid gäller när staten gör intrång i (”träder in i”) privatsfären på ett sätt som undertrycker den enskildes vilja, det vill säga i samband med en ”obligatorisk brottsutredning”. Domstolen får fatta ett sådant beslut endast om det grundar sig på en konkret misstanke om brott, dvs. när det föreligger bevisning som tyder på att den person som berörs av utredningen kan anses ha begått ett brott (75). De japanska myndigheterna har följaktligen ingen juridisk befogenhet att med tvångsmedel samla in personlig information i situationer där lagstiftningen ännu inte har överträtts (76), t.ex. för att förhindra ett brott eller andra säkerhetshot (vilket är fallet i samband med utredningar med hänsyn till den nationella säkerheten).

115)

Enligt rättsprincipen ska all insamling av uppgifter som ett led i en brottsutredning ha särskild tillåtelse genom stöd i lagen (vilket återspeglas i exempelvis artikel 197.1 i lagen om rättegångsregler i brottmål avseende obligatorisk insamling av uppgifter för en brottsutredning). Detta krav gäller också för tillgång till elektroniska uppgifter.

116)

Framför allt artikel 21.2 i konstitutionen garanterar sekretessen för alla kommunikationssätt, med begränsningar tillåtna endast genom lagstiftning som tar hänsyn till allmänintresset. Genom artikel 4 i lagen om telekomoperatörer, enligt vilken kommunikationshemligheten som hanteras av en teleoperatör inte får kränkas, genomförs detta sekretesskrav som tvingande lagstiftning. Detta har tolkats som ett förbud mot utlämnande av kommunikationsrelaterad information, såvida inte användarna gett sitt samtycke eller om det grundar sig på ett av de uttryckliga undantagen från straffansvar enligt strafflagen (77).

117)

Konstitutionen garanterar också rätten till domstolsprövning (artikel 32) och rätten att väcka talan mot staten för att pröva om den enskilde har lidit skada genom offentlig tjänstemans olagliga handlande (artikel 17).

118)

Särskilt i fråga om rätten till uppgiftsskydd, fastställs i kapitel III avsnitten 1, 2 och 3 i personuppgiftslagen allmänna principer som omfattar alla sektorer, också den offentliga sektorn. Särskilt i artikel 3 i personuppgiftslagen föreskrivs att all personlig information ska hanteras i enlighet med principen om respekt för den enskildes personlighet. När personuppgifter, även som inslag i elektroniska register, har samlats in (”begärts in”) av en myndighet (78), regleras hanteringen av dem i lagen om skydd av personuppgifter vilka innehas av förvaltningsorgan (nedan kallad lagen om uppgifter hos förvaltningsorgan) (79). Detta omfattar i princip (80) även behandling av personlig information för brottsbekämpning och den nationella säkerheten. I lagen om uppgifter hos förvaltningsorgan föreskrivs bl.a. att en myndighet i) får behålla personlig information endast i den mån som krävs för att den ska kunna fullgöra sina skyldigheter, ii) inte ska använda sådana uppgifter i ett ”oriktigt” syfte eller lämna ut den till en tredje person utan motivering, iii) ska ange syftet och inte ändra detta syfte utöver vad som rimligen kan anses vara relevant för det ursprungliga ändamålet (ändamålsbegränsning), iv) i princip inte ska använda lagrad personlig information eller förse en tredje person med sådana uppgifter för andra ändamål och, om så anses nödvändigt, införa begränsningar av ändamålet eller metoden för tredje parts användning, v) ska eftersträva att säkerställa uppgifternas korrekthet (uppgifternas kvalitet), vi) ska vidta nödvändiga åtgärder för en korrekt förvaltning av uppgifterna och för att förhindra läckor, förlust eller skada (datasäkerhet), och vii) ska eftersträva korrekt och skyndsam behandling av alla klagomål om behandlingen av uppgifterna (81).

119)

Japansk lagstiftning innehåller ett antal begränsningar av tillgången till och användningen av personuppgifter för brottsbekämpande ändamål samt tillsyns- och prövningsmekanismer som innebär tillräckliga skyddsåtgärder för uppgifter för att effektivt skydda mot olaglig påverkan och risker för missbruk.

120)

Enligt det japanska regelverket är insamling av elektroniska uppgifter för brottsbekämpande ändamål tillåten på grundval av ett beslut om husrannsakan (obligatorisk insamling) eller en begäran om frivilligt utlämnande av uppgifter.

121)

Såsom framgår av skäl 115, måste insamling av uppgifter som ett led i en brottsutredning vara specifikt godkänd enligt lag och kan endast utföras efter domstolsbeslut om husrannsakan av ”adekvata skäl” (artikel 35 i konstitutionen). I fråga om brottsutredningar, återfinns dessa krav i bestämmelserna i lagen om rättegångsregler i brottmål. Enligt artikel 197.1 i lagen om rättegångsregler i brottmål ”ska tvångsåtgärder inte tillämpas om inte särskilda bestämmelser har fastställts i denna lag”. I fråga om insamling av elektroniska uppgifter är den enda relevanta (82) rättsliga grunden i detta avseende artikel 218 i lagen om rättegångsregler i brottmål (husrannsakan och beslag) och artikel 222.2 i lagen om rättegångsregler i brottmål, enligt vilken tvångsåtgärder för avlyssning av elektronisk kommunikation utan samtycke från endera parten ska vidtas på grundval av andra rättsakter, nämligen lagen om avlyssning i brottsutredningar (nedan kallad lagen om avlyssning). I båda fallen är kravet på husrannsakan tillämpligt.

122)

Enligt artikel 218.1 i lagen om rättegångsregler i brottmål får en allmän åklagare, biträdande åklagare eller en tjänsteman vid kriminalpolisen, om nödvändigt för att utreda ett brott, mer specifikt genomföra husrannsakan eller beslag (också av kundregister) efter ett förhandsbeslut från domstol (83). Ett beslut om husrannsakan ska bland annat innehålla namnet på den misstänkte eller tilltalade, den straffbelagda gärningen (84), det elektromagnetiska register som ska beslagtas och ”plats eller varor” som ska kontrolleras (artikel 219.1 i lagen om rättegångsregler i brottmål).

123)

I fråga om avlyssning av kommunikation medger artikel 3 i lagen om avlyssning sådana åtgärder endast på stränga villkor. Myndigheterna måste särskilt inhämta förhandstillstånd genom ett beslut om husrannsakan, som kan fattas endast för utredning av särskilt allvarliga brott (förtecknade i bilagan till lagen) (85) och när det är ”mycket svårt att identifiera brottslingen eller klargöra situationen/uppgifterna avseende brottet på något annat sätt” (86). Enligt artikel 5 i lagen om avlyssning utfärdas beslutet för en begränsad tid. Dessutom kan domstolen föreskriva ytterligare villkor. I lagen om avlyssning föreskrivs dessutom ett antal ytterligare garantier, t.ex. att det måste finnas vittnen (artiklarna 12 och 20), förbud mot att avlyssna vissa privilegierade yrkesgruppers (t.ex. läkare, advokater) kommunikation (artikel 15), skyldigheten att avbryta avlyssningen om den inte längre är berättigad, även under beslutets giltighetstid (artikel 18), eller det allmänna kravet på att underrätta berörd enskild och medge tillgång till inspelningarna inom trettio dagar efter det att avlyssningen har slutförts (artiklarna 23 och 24).

124)

Med avseende på varje tvångsåtgärd som bygger på domstolsbeslut får endast sådan undersökning gemomföras ”som är nödvändig för att uppnå dess mål” – det vill säga när målen med utredningen inte kan uppnås på annat sätt (artikel 197.1 i lagen om rättegångsregler i brottmål). Även om kriterierna för att bedöma nödvändigheten inte närmare anges i lagstiftningen har Japans högsta domstol fastställt att de domare som utfärdar ett beslut om husrannsakan bör göra en övergripande bedömning med hänsyn till i) överträdelsens allvar och hur den begåtts, ii) värdet och vikten av det underlag som ska beslagtas som bevis, iii) sannolikheten (risken) att bevis kan döljas eller förstöras, och iv) den utsträckning i vilken beslag kan skada berörd enskild (87).

125)

Inom ramen för sin behörighet kan myndigheter också samla in elektroniska uppgifter om ansökningar om frivilligt utlämnande av uppgifter. Detta avser en icke-obligatorisk form av samarbete, i vilken begäran inte är verkställbar (88), vilket därför befriar myndigheterna från skyldigheten att erhålla ett beslut om husrannsakan.

126)

Om en sådan begäran riktar sig till näringsidkare och avser personlig information, måste näringsidkaren efterkomma kraven i personuppgiftslagen. Enligt artikel 23.1 i personuppgiftslagen kan ekonomiska aktörer endast i vissa fall lämna ut personlig information till tredje man utan samtycke från berörd enskild, bl.a. när utlämnandet ”grundar sig på lagar och förordningar (89). På området brottsbekämpning återfinns den rättsliga grunden för sådana förfrågningar i artikel 197.2 i lagen om rättegångsregler i brottmål, enligt vilken ”privata organisationer kan uppmanas att rapportera om frågor som rör undersökningen”. ”Undersökningsformuläret” är tillåtet endast som ett inslag i en brottsutredning och förutsätter alltid en konkret misstanke om ett redan begånget brott (90). Eftersom sådana undersökningar normalt bedrivs av den regionala polismyndigheten, är begränsningarna enligt artikel 2.2 i polislagen (91) tillämpliga. Enligt denna bestämmelse är polisens verksamhet ”strikt begränsad” till fullgörandet av polismyndighetens ansvar och skyldigheter (det vill säga förebyggande, bekämpning och utredning av brott). I fullgörandet av sina skyldigheter ska polisen dessutom agera på ett opartiskt, fördomsfritt och rättvist sätt och får aldrig missbruka sina befogenheter ”på ett sådant sätt att det påverkar de rättigheter och friheter som den enskilde tillförsäkras i Japans konstitution”(vilket, som påpekat, inbegriper rätten till personlig integritet och personuppgiftsskydd) (92).

127)

Med särskilt avseende på artikel 197.2 i lagen om rättegångsregler i brottmål har den nationella polismyndigheten (”NPA”) – i egenskap av ansvarig federal myndighet bland annat i alla frågor som rör kriminalpolisen – utfärdat instruktioner till den regionala polismyndigheten (93) om ”korrekt användning av skriftliga förfrågningar i förundersökningsfrågor”. Enligt denna anmälan måste ansökan göras i ett på förhand fastställt formulär (”Formulär 49” eller det s.k. undersökningsformuläret) (94), som gäller register ”rörande en specifik utredning” och de begärda upplysningarna måste vara ”nödvändiga för den undersökningen”. I varje enskilt fall ska förundersökningsledaren ”med avseende på den enskilda utredningen grundligt undersöka behovet av den, dess innehåll osv.” och få ett internt godkännande från en högt uppsatt tjänsteman.

128)

I två domar från 1969 och 2008 (95) har Japans högsta domstol fastställt begränsningar i fråga om icke-obligatoriska åtgärder som påverkar rätten till personlig integritet (96). Domstolen anser särskilt att sådana åtgärder måste vara ”rimliga” och ligga inom ”allmänt godtagbara gränser”, det vill säga att de måste vara nödvändiga för undersökningen av en misstänkt (insamling av bevis) och vidtagna ”med lämpliga metoder för att uppnå undersökningens syfte.” (97) Av domen framgår att detta inbegriper ett proportionalitetstest avseende alla omständigheter i fallet (t.ex. omfattningen av påverkan på rätten till personlig integritet, inbegripet rätten till personlig integritet, brottets svårighetsgrad, sannolikheten att finna användbar bevisning, bevisningens vikt, möjliga alternativa undersökningsverktyg, osv.) (98).

129)

Bortsett från dessa begränsningar i fråga om utövandet av offentlig makt, förväntas näringsidkarna själva kontrollera (”bekräfta”) att överföringen till tredje part är nödvändig och ”rationell” (99). Detta inbegriper frågan om huruvida de enligt lag är förhindrade att samarbeta. Sådana motstridiga rättsliga skyldigheter kan i synnerhet följa av tystnadsplikten, såsom artikel 134 i lagen om rättegångsregler i brottmål (om förhållandet mellan läkare, präst osv. och vederbörandes klient). Dessutom ska ”varje person som bedriver telekomverksamhet, i sin tjänsteutövning, bevara andras hemligheter som har kommit till vederbörandes kännedom avseende kommunikation som hanteras av telekomoperatören” (artikel 4.2 i lagen om telekomverksamhet). Denna skyldighet underbyggs av den påföljd som föreskrivs i artikel 179 i lagen om telekomverksamhet, enligt vilken varje person som brutit mot den kommunikationshemlighet som hanteras av teleoperatörer gör sig skyldig till ett brott och döms till fängelse med straffarbete i upp till två år eller till böter om högst en miljon yen (100). Även om detta krav inte är absolut och i synnerhet medger åtgärder som kränker kommunikationshemligheten vilka utgör ”rättmätiga handlingar” i den mening som avses i artikel 35 i strafflagen, gäller detta undantag inte svaret på en icke-obligatorisk begäran från myndigheter avseende utlämnandet av elektroniska uppgifter enligt artikel 197.2 i lagen om rättegångsregler i brottmål (101).

130)

När japanska myndigheter samlar in uppgifter faller personlig information inom tillämpningsområdet för lagen om skydd av personuppgifter, vilka innehas av förvaltningsorgan. I lagen regleras hanteringen (behandlingen) av ”lagrad personlig information”, och såtillvida föreskrivs ett antal begränsningar och skyddsåtgärder (se skäl 118) (102). Det faktum att ett förvaltningsorgan får lagra personlig information ”endast när så krävs för att sköta ärenden inom dess jurisdiktion i enlighet med lagar och andra författningar” (artikel 3.1 i lagen om uppgifter hos förvaltningsorgan) innebär också begränsningar – åtminstone indirekt – i samband med den inledande insamlingen.

131)

I Japan ligger insamling av elektroniska uppgifter i samband med brottmål främst (103) inom den regionala polismyndighetens ansvarsområde (104), och är i detta avseende föremål för olika nivåer av tillsyn.

132)

I samtliga fall där elektroniska uppgifter samlas in med tvångsmedel (husrannsakan och beslag) måste polisen för det första inhämta ett förhandsbeslut om husrannsakan från domstolen (se skäl 121). Insamlingen i dessa fall kommer därför att förhandskontrolleras av en domare, utifrån en strikt standard för ”adekvata skäl”.

133)

Även om det inte gjorts någon förhandskontroll i domstol av en begäran om frivilligt utlämnande av uppgifter, kan en näringsidkare som mottagit en begäran invända mot den utan risk för negativa följder (och måste beakta hur varje utlämnande påverkar den personliga integriteten). Vidare ska polistjänstemän enligt artikel 192.1 i lagen om rättegångsregler i brottmål alltid samarbeta och samordna sina insatser med den allmänna åklagaren (och den regionala nämnden för den offentliga säkerheten) (105). Åklagaren kan i sin tur ge de nödvändiga allmänna instruktioner som anger normer för en rättvis utredning och/eller utfärda särskilda instruktioner i fråga om en enskild utredning (artikel 193 i lagen om rättegångsregler i brottmål). Om sådana instruktioner eller anvisningar inte efterkoms, kan åklagaren väcka åtal om disciplinära åtgärder (artikel 194 i lagen om rättegångsregler i brottmål). Därför står den regionala polismyndigheten under allmän åklagares tillsyn.

134)

Enligt artikel 62 i konstitutionen får båda kamrarna i det japanska parlamentet genomföra utredningar rörande staten, bl.a. för att avgöra om polisens insamling av uppgifter är lagenlig. För detta ändamål kan parlamentet kräva inställelse och vittnesmål och/eller tillhandahålande av register. Dessa befogenheter specificeras närmare i parlamentslagen, särskilt kapitel XII. Särskilt i artikel 104 i parlamentslagen föreskrivs det att regeringen, offentliga organ och andra delar av statsförvaltningen ”måste efterkomma parlamentets eller något av utskottens krav om tillhandahållande av rapporter och register som behöver tas i beaktande i en utredning”. Vägran att efterkomma kravet tillåts endast om regeringen kan lägga fram en trolig förklaring som parlamentet anser godtagbar, eller efter utfärdande av en formell förklaring om att tillhandahållandet av rapporterna eller registren skulle vara ”mycket skadligt för nationens intresse” (106). Dessutom kan japanska parlamentsledamöter ställa skriftliga frågor till regeringen (artiklarna 74 och 75 i parlamentslagen), och tidigare har sådana skriftliga förfrågningar ”också rört förvaltningens hantering av personlig information (107). Det japanska parlamentets roll i överinsynen över regeringen stöds av rapporteringsskyldigheter, till exempel enligt artikel 29 i lagen om avlyssning.

135)

Också inom den verkställande makten är den regionala polismyndigheten, för det tredje, föremål för oberoende tillsyn. Detta inbegriper särskilt de regionala nämnderna för den offentliga säkerheten, som ska säkerställa demokratisk förvaltning och politisk neutralitet inom polisen på regional nivå (108). Dessa nämnder är sammansatta av ledamöter som utses av regionguvernören med regionalförsamlingens samtycke (bland medborgare som inte varit anställda som tjänstemän inom polisen under de närmast föregående fem åren) och har en fast mandatperiod (med möjlighet till avsättning endast av goda skäl) (109). Enligt inkomna uppgifter är nämnderna inte underkastade några instruktioner och kan således anses vara helt oberoende (110). Vad gäller de regionala nämnderna för den offentliga säkerheten, är de, enligt artikel 38.3 jämförd med artiklarna 2 och 36.2 i polislagen, ansvariga för ”skyddet av den enskildes fri- och rättigheter”. Därför har de befogenhet att ”utöva tillsyn av” (111) all utredningsverksamhet inom den regionala polismyndigheten, också insamling av personuppgifter. I synnerhet får nämnderna ”om nödvändigt” detaljstyra ”den regionala polisen eller en viss enskild undersökning av ett tjänstefel som begåtts av en polistjänsteman.” (112) När regionpolischefen (113) får en sådan anvisning eller själv får vetskap om ett fall av möjligt tjänstefel (t. ex. överträdelse av lagar eller annan tjänsteförsummelse), ska vederbörande omgående undersöka fallet och rapportera resultatet till den regionala nämnden för den offentliga säkerheten (artikel 56.3 i polislagen). Om kommissionen anser det nödvändigt, kan den också utse en av sina ledamöter att se över genomförandet. Förfarandet fortsätter tills den regionala nämnden för den offentliga säkerheten anser att tillbudet har åtgärdats på lämpligt sätt.

136)

Med avseende på den korrekta tillämpningen av lagen om skydd av personuppgifter, vilka innehas av förvaltningsorgan, har den behöriga ministern (dvs. generalintendenten för den nationella polismyndigheten) dessutom genomförandebefogenheter, under överinsyn av inrikes- och kommunikationsministeriet. Enligt artikel 49 i lagen om uppgifter hos förvaltningsorgan får inrikes- och kommunikationsministeriet ”samla in rapporter om efterlevnaden av lagen” från förvaltningsorganens chefer (ministern). Utöver detta stöd denna tillsynsfunktion med material från inrikes- och kommunikationsministeriets 51 ”centrum för övergripande information” (ett i varje japanskt län), vilka årligen handlägger tusentals förfrågningar från enskilda (114) (vilket i sin tur kan avslöja eventuella överträdelser av lagen). Om ministeriet anser detta vara nödvändigt för att säkerställa efterlevnaden av lagen, kan inrikes- och kommunikationsministeriet begära in förklaringar och underlag samt avge yttranden om förvaltningsorganets hantering av personlig information (artiklarna 50 och 51 i lagen om uppgifter hos förvaltningsorgan).

137)

Utöver myndigheternas tillsynsarbete finns också flera möjligheter för den enskilde att få enskild prövning, både genom oberoende myndigheter (t.ex. den regionala nämnden för den offentliga säkerheten eller nämnden) och japanska domstolar.

138)

Vad gäller den personliga information som samlas in av förvaltningsorgan, är dessa organ för det första skyldiga att ”eftersträva att korrekt och skyndsamt handlägga eventuella klagomål” avseende sin efterföljande behandling av uppgifterna (artikel 48 i lagen om uppgifter hos förvaltningsorgan). Medan kapitel IV i lagen om uppgifter hos förvaltningsorgan i fråga om individuella rättigheter inte är tillämpligt på personlig information som är registrerad i ”handlingar som rör rättslig prövning och beslagtagna varor” (artikel 53–2.2 i lagen om rättegångsregler i brottmål) – vilket även omfattar personlig information som samlats in som ett led i en brottsutredning – kan enskilda väcka talan för att åberopa allmänna principer för uppgiftsskydd, såsom exempelvis skyldigheten att inte lagra personlig information annat än ”när så är nödvändigt för att utföra [brottsbekämpande uppgifter]” (artikel 3.1 i lagen om uppgifter hos förvaltningsorgan).

139)

I artikel 79 i polislagen tillförsäkras dessutom enskilda som hyser farhågor avseende polistjänstemäns ”fullgörande av sina skyldigheteter” rätten att inkomma med klagomål till den (behöriga) oberoende regionala nämnden för den offentliga säkerheten. Nämnden kommer ”noggrant” att handlägga sådana klagomål i enlighet med lagar och lokala stadgor och ska skriftligen underrätta klaganden om resultatet. På grundval av sin befogenhet att utöva tillsyn och ”styra” den regionala polismyndigheten med avseende på ”anställdas tjänstefel” (artiklarna 38.3, 43–2.1 i polislagen) får den uppmana den regionala polismyndigheten att utreda fakta, vidta lämpliga åtgärder på grundval av resultatet av denna utredning och rapportera om resultaten. Om den anser att den utredning som genomförts av polisen inte varit adekvat, kan nämnden också ge instruktioner om handläggningen av klagomålet.

140)

För att underlätta handläggningen av klagomål har den nationella polismyndigheten utfärdat ett meddelande till polisen och de regionala nämnderna för den offentliga säkerheten rörande korrekt handläggning av klagomål som rör polistjänstemäns fullgörande av sina skyldigheter. I detta dokument fastställs standarder för den nationella polismyndigheten om tolkningen och tillämpningen av artikel 79 i polislagen. Bland annat åläggs den regionala polismyndigheten att inrätta ett ”system för handläggning av klagomål” och ”omgående” handläggning och rapportering av samtliga klagomål till den behöriga regionala nämnden för den offentliga säkerheten. I meddelandet definieras klagomål som yrkanden om korrigering ”för specifika nackdelar som åsamkats någon till följd av ett olagligt eller olämpligt beteende” (115) eller ”polismans underlåtenhet att vidta en nödvändig åtgärd i tjänsteutövandet” (116) samt ”klagomål/missnöje med avseende på olämpligheter i polismans tjänsteutövande.” Ett klagomåls materiella tillämpningsområde har således en vid definition som omfattar påståenden om olaglig insamling av uppgifter, och den klagande behöver inte påvisa skada som lidits till följd av en polismans agerande. Det är viktigt att notera att utlänningar (bland andra) enligt meddelandet ska erbjudas hjälp med att formulera ett klagomål. Efter ett klagomål uppmanas de regionala nämnderna för den offentliga säkerheten uppmanas säkerställa att den regionala polismyndigheten prövar sakförhållandena, vidtar åtgärder ”enligt undersökningsresultatet” och avlägger rapport om resultaten. Om nämnden anser att undersökningen är otillräcklig ska den utfärda en instruktion om handläggningen av klagomålet, som regionpolisen är ålagd att följa. På grundval av de rapporter som inkommit, och de åtgärder som vidtagits, ska nämnden underrätta den enskilde och bland annat uppge vilka åtgärder som vidtagits för att hantera klagomålet. I meddelandet från den nationella polismyndigheten framhålls att klagomålen ska handläggas ”seriöst” och att resultatet bör anmälas ”inom den tidsram […] som anses lämplig enligt sociala normer och det sunda förnuftet”.

141)

Eftersom prövningen, för det andra, av naturliga skäl måste göras utomlands i ett utländskt system och på ett främmande språk, har japanska staten, i syfte att underlätta rättslig prövning för enskilda i EU vars personuppgifter överförs till näringsidkare i Japan och därför också ger myndigheter tillgång till dem, utnyttjat sina befogenheter att skapa en särskild mekanism, förvaltad och kontrollerad av nämnden för att handlägga och åtgärda klagomål på detta område. Denna mekanism bygger på den samarbetsskyldighet som åligger japanska myndigheter enligt personuppgiftslagen och nämndens särskilda roll med avseende på internationell överföring av personuppgifter från tredjeländer enligt artikel 6 i personuppgiftslagen och den grundläggande strategin (på det sätt som den japanska regeringen beslutat). Enskildheterna i denna mekanism fastställs i den officiella framställningarna, utfästelserna och åtagandena från den japanska regeringen som åtföljer detta beslut som bilaga II. Mekanismen är inte föremål för något permanent krav och är öppen för alla enskilda, oberoende av om vederbörande är misstänkt eller tilltalad för ett brott.

142)

Enligt mekanismen kan en enskild som misstänker att hans/hennes uppgifter som överförts från Europeiska unionen har samlats in eller använts av japanska myndigheter (även de som är ansvariga för brottsbekämpning) i strid med tillämpliga regler inkomma med klagomål till nämnden (personligen eller genom sin dataskyddsmyndighet i den mening som avses i artikel 51 i allmänna dataskyddsförordningen). Nämnden kommer att vara skyldig att handlägga klagomålet och i ett första steg underrätta behöriga myndigheter, däribland berörda tillsynsorgan, om detta. Dessa myndigheter är skyldiga att samarbeta med nämnden, ”också genom att tillhandahålla nödvändiga uppgifter och relevant material, så att nämnden kan bedöma om insamlingen eller den efterföljande användningen av personlig information har skett i överensstämmelse med tillämpliga regler.” (117) Denna skyldighet, som hänför sig till artikel 80 i personuppgiftslagen (som ålägger japanska myndigheter att samarbeta med nämnden), är generellt tillämpligt och omfattar därför översyn av alla undersökningsåtgärder som vidtas av dessa myndigheter. Dessa har dessutom förbundit sig till sådant samarbete genom skriftliga utfästelser från behöriga ministerier och myndighetschefer, vilket återspeglas i bilaga II.

143)

Om utvärderingen visar att en överträdelse av de tillämpliga reglerna har begåtts, ”omfattar de berörda myndigheternas samarbete med nämnden skyldigheten att avhjälpa överträdelsen”, vilken i fall av olaglig insamling av personlig information omfattar radering av sådana uppgifter. Det bör framhållas att denna skyldighet fullgörs under överinseende av nämnden som ”innan utvärderingen avslutas, kommer att bekräfta att överträdelsen till fullo har avhjälpts.”

144)

Efter avslutad utvärdering ska nämnden inom rimlig tid meddela den enskilde om resultatet av utvärderingen och eventuella korrigerande åtgärder som vidtagits. Samtidigt ska nämnden också underrätta den enskilde om möjligheten att från den behöriga myndigheten begära en bekräftelse av resultatet och ange till vilken myndighet en sådan begäran om bekräftelse bör ställas. Möjligheten att få en sådan bekräftelse, samt de skäl som ligger till grund för den behöriga myndighetens beslut, kan vara till hjälp för den enskilde när ytterligare åtgärder vidtas, inbegripet när en begäran om rättslig prövning lämnas in. Utförliga uppgifter om resultatet av utvärderingen kan begränsas, så länge det på rimlig grund kan antas att förmedlingen av sådana uppgifter skulle utgöra en risk för den pågående undersökningen.

145)

En enskild som bestrider ett beslut om beslag (husrannsakan) (118) av sina personuppgifter genom domstolsbeslut, eller genom åtgärder av polisen eller den åklagare som genomför ett sådant beslut, kan för det tredje inkomma med en begäran om att detta beslut eller sådana åtgärder ska hävas eller ändras (artiklarna 429.1, 430.1 och 2 i lagen om rättegångsregler i brottmål, artikel 26 i lagen om avlyssning) (119). Om den granskande domstolen anser att antingen husrannsakan i sig eller dess genomförande (”förfarande för beslag”) är olaglig, kommer den att bevilja begäran och besluta om att de beslagtagna varorna ska återlämnas (120).

146)

Som en mer indirekt form av rättslig kontroll kan en enskild som anser att insamlingen av personlig information om honom eller henne som ett led i en brottsutredning varit olaglig, för det fjärde, åberopa denna rättsstridighet i samband med sin rättegång i brottmål. Om domstolen instämmer, kommer detta att leda till bevisningen utesluts om den är otillåten.

147)

Enligt artikel 1.1 i lagen om rättslig prövning mot staten kan en domstol slutligen bevilja skadestånd när en tjänsteman som utövar statens (eller ett offentligt organs) befogenheter, i fullgörandet av sina skyldigheter, rättsstridigt och felaktigt (uppsåtligen eller genom försumlighet) har vållat den berörda individen skada. Enligt artikel 4 i lagen om rättslig prövning mot staten grundar sig statens skadeståndsansvar på bestämmelserna i civilprocesslagen. I artikel 710 i civilprocesslagen fastslås i detta avseende att ansvarigheten även omfattar andra skador än egendomsskador, och därför även moralisk skada (t.ex. ”psykiskt lidande”). Detta inbegriper fall i vilka intrång gjorts i en enskilds personliga integritet genom olaglig övervakning och/eller insamling av vederbörandes personliga information (t.ex. olaglig verkställighet av ett beslut om husrannsakan) (121).

148)

Utöver ekonomisk ersättning kan den enskilde under vissa förutsättningar också få igenom ett förbudsföreläggande (t.ex. radering av personuppgifter som samlats in av myndigheter) på grundval av sin rätt till personlig integritet enligt artikel 13 i konstitutionen (122).

149)

Vad gäller dessa möjligheter till prövning, föreskriver den tvistelösningsmekanism som inrättats av japanska staten, att om den enskilde alltjämt är missnöjd med resultatet av förfarandet, kan vederbörande vända sig till nämnden ”som ska underrätta den enskilde om de olika möjligheter och förfaranden för överklagande som finns enligt japanska lagar och andra författningar.” Dessutom kommer nämnden att ”erbjuda den enskilde stöd, inbegripet rådgivning och assistans när det gäller att ta ytterligare åtgärder till berört administrativt eller juridiskt organ.”

150)

Detta inbegriper utnyttjande av de processuella rättigheterna enligt lagen om rättegångsregler i brottmål. ”[O]m det av utvärderingen” till exempel ”framgår att en enskild är misstänkt i ett brottmål, kommer nämnden att underrätta vederbörande om detta” (123) samt om möjligheten att enligt artikel 259 i lagen om rättegångsregler i brottmål begära att åtalet ska meddelas, när nämnden har beslutat att inte inleda straffrättsliga förfaranden. Om utvärderingen visar att ett ärende som inbegriper personlig information om den enskilde har öppnats och att det avslutas, kommer nämnden också att underrätta den enskilde om att protokollet i ärendet kan läsas enligt artikel 53 i lagen om rättegångsregler i brottmål (och artikel 4 i lagen om slutprotokoll i brottmålsärenden). Det är viktigt att den enskilde får tillgång till sin dossier i ärendet, eftersom vederbörande då bättre kan förstå den utredning som gjorts av honom/henne, vilket underlättar förberedelserna av en eventuell talan i domstol (t.ex. skadeståndstalan) för det fall att vederbörande anser att personuppgifterna samlats in eller använts olagligt.

151)

Enligt de japanska myndigheterna saknar Japan lagstiftning som medger obligatorisk begäran om information eller ”administrativ avlyssning” utanför brottsutredningarnas ram. Med hänvisning till den nationella säkerheten får information alltså endast hämtas från en uppgiftskälla som är fritt tillgänglig för alla eller genom frivilligt utlämnande. Näringsidkare som tar emot en begäran om frivilligt samarbete (i form av utlämnande av elektroniska uppgifter) omfattas inte av någon rättslig skyldighet att tillhandahålla sådana uppgifter (124).

152)

Enligt den information som inkommit har dessutom endast fyra offentliga organ befogenhet att samla in elektronisk information som innehas av japanska näringsidkare med hänvisning till den nationella säkerheten, nämligen: i) regeringens underrättelse- och inhämtningstjänst, ii) försvarsministeriet, iii) polisen (både den nationella polismyndigheten och den regionala polismyndigheten) (125) och iv) underrättelsetjänsten för den allmänna säkerheten. Regeringens underrättelse- och inhämtningstjänst samlar dock aldrig in information direkt från näringsidkare, inte heller genom avlyssning av kommunikation. Om den tar emot information från andra statliga myndigheter för att förse regeringen med analyser, måste dessa andra myndigheter i sin tur måste följa lagen, inbegripet de begränsningar och säkerhetsåtgärder som analyseras i detta beslut. Dess verksamhet är alltså inte relevant i samband med en överföring.

153)

Enligt inkomna uppgifter samlar försvarsministeriet in (elektroniska) uppgifter på grundval av lagen om inrättande av ett försvarsministerium. Enligt artikel 3 i denna lag har försvarsministeriet till uppgift att förvalta och leda de militära styrkorna och ”att sköta ärenden i förhållande till detta för att säkerställa nationell fred och oavhängighet, samt nationens särkerhet”. I artikel 4.4 föreskrivs det att försvarsministeriet ska ha behörighet att sköta såväl ”försvar och övervakning” av de åtgärder som ska vidtas av försvarsstyrkorna som utplaceringen av militära styrkor, inbegripet insamling av erforderlig information för att sköta sådana ärenden. Ministeriet har endast genom frivilligt samarbete behörighet att samla in (elektronisk) information från näringsidkare.

154)

Vad gäller den regionala polismyndigheten, omfattar dess ansvarsuppgifter och skyldigheter ”upprätthållandet av allmän ordning och säkerhet” (artikel 35.2 jämförd med artikel 2.1 i polislagen). Inom ramen för denna behörighet får polisen samla in uppgifter, men endast på frivillig grund utan rättslig verkan. Dessutom ska polisens verksamhet vara ”strikt begränsad” till vad som är nödvändigt för att utföra dess uppgifter. Dessutom ska polisens verksamhet vara ”strikt begränsad” till vad som är nödvändigt för att den ska kunna fullgöra sina skyldigheter, den ska agera ”opartiskt, utan bindningar, fördomsfritt och rättvist” och aldrig missbruka sina befogenheter ”på ett sådant sätt att det påverkar de fri- och rättigheter som den enskilde tillförsäkras i Japans konstitution” (artikel 2 i polislagen).

155)

Slutligen kan underrättelsetjänsten för den allmänna säkerheten (nedan kallad underrättelsetjänsten) genomföra utredningar enligt lagen om förebyggande av samhällsomstörtande verksamhet (nedan kallad lagen om samhällsomstörtande verksamhet) och lagen om kontroll av organisationer som begått urskillningslösa massmord (nedan kallad lagen om urskillningslösa massmord), om sådana undersökningar är nödvändiga för att förbereda kontroll av vissa organisationer (126). Båda lagarna medger att underrättelsetjänsten/undersökningskommissionen för den allmänna säkerheten, på uppmaning av generaldirektören för underrättelsetjänsten, utfärdar vissa ”förordnanden” (övervakning/förbud vad gäller lagen om urskillningslösa massmord (127)/förbud när det gäller lagen om samhällsomstörtande verksamhet (128)) och i detta sammanhang kan underrättelsetjänsten/polisen genomföra utredningar (129). Enligt inkomna uppgifter genomförs dessa utredningar alltid på frivillig grund, vilket innebär att underrättelsetjänsten inte får tvinga en ägare av personlig information att tillhandahålla sådan information (130). Varje gång som kontroller och undersökningar genomförs får det inte ske i större omfattning än vad som absolut är nödvändigt för att uppnå ändamålet med kontrollen och får inte under några omständigheter göras på ett sätt som ”utan skäl” begränsar de friheter och rättigheter som garanteras enligt Japans konstitution (artikel 3.1 i lagen om samhällsomstörtande verksamhet/lagen om urskillningslösa massmord). Enligt artikel 3.2 i lagen om samhällsomstörtande verksamhet/lagen om urskillningslösa massmord får underrättelsetjänsten under inga omständigheter missbruka sådana kontroller eller utredningar för att förbereda sådana kontroller. Om en tjänsteman vid säkerhetspolisen har missbrukat sin behörighet enligt respektive lag genom att tvinga någon till att göra något som vederbörande inte är skyldig att göra, eller genom att påverka en persons rättigheter, kan vederbörande bli föremål för straffrättsliga påföljder i enlighet med artikel 45 i lagen om samhällsomstörtande verksamhet eller artikel 42 i lagen om urskillningslösa massmord. Slutligen föreskriver båda dessa lagar uttryckligen att bestämmelserna, inbegripet de befogenheter som beviljas genom dem, ”inte under några omständigheter får bli föremål för en utökad tolkning” (artikel 2 i lagen om samhällsomstörtande verksamhet/lagen om urskillningslösa massmord).

156)

I samtliga fall av statliga myndigheters tillgång till uppgifter med hänvisning till den nationella säkerheten, vilka beskrivs i detta avsnitt, är de begränsningar för frivilliga utredningar som anges av Japans högsta domstol tillämpliga, vilket innebär att insamlingen av (elektronisk) information måste överensstämma med principerna om nödvändighet och proportionalitet (”lämplig metod”) (131). Såsom uttryckligen bekräftats av de japanska myndigheterna, ”sker insamlingen och bearbetningen av information endast i den mån som krävs för att den behöriga myndigheten ska kunna utföra specifika uppgifter samt agera på grundval av specifika hot. Därför är ”massinsamling och urskillningslös insamling eller tillgång till personuppgifter av nationella säkerhetsskäl uteslutet” (132).

157)

När den personliga informationen väl samlats in, kommer all information som lagras av myndigheterna med hänvisning till den nationella säkerheten också att falla under och därmed omfattas av skyddet enligt lagen om uppgifter hos förvaltningsorgan i fråga om efterföljande lagring, användning och utlämnande av denna information (se skäl 118).

158)

Insamlingen av personlig information med hänvisning till den nationella säkerheten omfattas av flera skikt av tillsyn från de tre statsmakterna.

159)

För det första kan det japanska parlamentet genom sina fackutskott granska utredningarnas laglighet på grundval av sina befogenheter att utöva parlamentarisk kontroll (artikel 62 i konstitutionen, artikel 104 i parlamentslagen, se skäl 134). Denna tillsynsfunktion stöds genom särskilda rapporteringskrav för verksamhet som bedrivs enligt vissa av de ovannämnda rättsliga grunderna (133).

160)

Dessutom har regeringen flera tillsynsmekanismer att tillgå.

161)

Vad gäller försvarsministeriet, utövas tillsynen av generalinspektörens byrå för efterlevnad av lagen (134) som inrättats på grundval av artikel 29 i lagen om inrättande av ett försvarsministerium som en byrå inom ministeriet under överinseende av försvarsministerns kansli (till vilket byrån avlägger rapport) men oberoende av ministeriets operativa avdelningar. Byrån ska säkerställa efterlevnaden av lagar och förordningar samt att försvarsministeriets tjänstemän fullgör sina skyldigheter på ett korrekt sätt. Bland annat har byrån befogenhet att genomföra s.k. ”försvarsinspektioner”, både regelbundet återkommande inspektioner (”återkommande försvarsinspektioner”) och i enskilda fall (”särskilda försvarsinspektioner”), som tidigare även omfattat korrekt handläggning av personlig information (135). I samband med sådana inspektioner har byrån för rättslig efterlevnad rätt att beträda arbetsplatser (kontor) och begära in handlingar eller uppgifter, även förklaringar av den biträdande vice försvarsministern. Inspektionen avslutas med en rapport till försvarsministern om resultaten och förbättringsåtgärder (vars genomförande kan kontrolleras genom ytterligare inspektioner). Rapporten ligger i sin tur till grund för instruktioner från försvarsministeriet om att genomföra nödvändiga åtgärder för att hantera situationen. Den biträdande vice ministern ansvarar för genomförandet av sådana åtgärder och rapporteringen om uppföljningen.

162)

Vad gäller den regionala polismyndigheten, säkerställs tillsynen av de oberoende regionala nämnderna för den offentliga säkerheten, vilket framgår av skäl 135 med avseende på brottsbekämpning.

163)

Slutligen får underrättelsetjänsten, som tidigare nämnts, endast genomföra utredningar i den mån så är nödvändigt med avseende på beslut om ett förbud, upplösande eller övervakning enligt lagen om samhällsomstörtande verksamhet/lagen om urskillningslösa massmord, och för dessa bestämmelser genomför den oberoende (136) undersökningskommissionen för den allmänna säkerheten en förhandstillsyn. Regelbundna/återkommande inspektioner (som på ett övergripande sätt undersöker underrättelsetjänstens verksamhet) (137) och särskilda interna inspektioner (138) med avseende på enskilda avdelningar/kontor osv. utförs dessutom av särskilt utsedda inspektörer och kan leda till instruktioner till cheferna för berörda enheter osv. att vidta korrigerings- eller förbättringsåtgärder.

164)

Dessa tillsynsmekanismer, som ytterligare förstärks genom den enskildes möjlighet att få nämnden att ingripa som oberoende tillsynsmyndighet (se skäl 168 nedan), ger adekvata garantier avseende risken att de japanska myndigheterna skulle missbruka sina befogenheter på området nationell säkerhet och mot all otillåten insamling av elektroniska uppgifter.

165)

I fråga om enskild prövning med avseende på personlig information som samlats in och därmed ”lagras” av förvaltningsorgan, är dessa organ skyldiga att ”eftersträva att korrekt och skyndsamt handlägga eventuella klagomål” som avser behandlingen (artikel 48 i lagen om uppgifter hos förvaltningsorgan).

166)

Annorlunda än vid brottsutredningar har den enskilde (även utländsk medborgare som bor utomlands) i princip också rätt till utlämnande (139), korrigering (inbegripet radering) och tillfälligt upphävande av användning/tillhandahållande enligt lagen om uppgifter hos förvaltningsorgan. Med detta sagt kan förvaltningsorganets chef vägra utlämnande av information, ”för vilken det finns rimliga skäl att […] anse att utlämnande sannolikt skulle skada den nationella säkerheten” (artikel 14 iv i lagen om uppgifter hos förvaltningsorgan) och kan även göra så utan att röja förekomsten av sådana uppgifter (artikel 17 i samma lag). Eftersom den enskilde kan begära upphävande av användningen eller radering enligt artikel 36.1 i lagen om uppgifter hos förvaltningsorgan i fall där förvaltningsorganet har erhållit uppgifterna på olaglig väg eller lagrar/använder dem utöver vad som är nödvändigt för att uppnå det angivna syftet, får myndigheten på liknande sätt avslå begäran, för det fall den anser att ett tillfälligt upphävande av användningen ”troligen kommer att hindra ett korrekt genomförande av de ärenden som rör ändamålet med användningen av den lagrade personliga informationen på grund av de berörda ärendenas natur” (artikel 38 i lagen om uppgifter hos förvaltningsorgan). I fall där det är möjligt att enkelt separera och utesluta delar som omfattas av ett undantag är förvaltningsorgan skyldiga att bevilja åtminstone ett partiellt utlämnande (se t.ex. artikel 15.1 i lagen om uppgifter hos förvaltningsorgan) (140).

167)

Under alla omständigheter måste förvaltningsorganen fatta ett skriftligt beslut inom en viss tidsfrist (30 dagar, vilken under vissa omständigheter kan förlängas med ytterligare 30 dagar). Om begäran avslås, endast delvis beviljas eller om den enskilde av andra skäl håller det förvaltningsorganets genomförande för ”olagligt eller orättvist”, får den fysiska personen begära omprövning enligt lagen om administrativa klagomål (141). I ett sådant fall ska chefen för det förvaltningsorgan som beslutar om överklagandet samråda med styrelsen för översyn av utlämnande av uppgifter och skydd av personuppgifter (artiklarna 42 och 43 i lagen om uppgifter hos förvaltningsorgan), som är en specialiserad oberoende styrelse, vars ledamöter utses av premiärministern med samtycke av båda kamrarna i det japanska parlamentet. Enligt inkomna uppgifter får nämnden genomföra en undersökning (142) och i detta avseende uppmana förvaltningsorgan att tillhandahålla lagrad personlig information, inbegripet eventuellt sekretessbelagt innehåll, liksom ytterligare information och handlingar. Fastän den slutrapport som offentliggjorts och sänts till klaganden och förvaltningsorganet inte är rättsligt bindande, följs den nästan alltid (143). Dessutom kommer den enskilde ha möjlighet att överklaga beslutet i domstol på grundval av förvaltningsprocesslagen. Detta banar väg för rättslig kontroll av användningen av undantag för den nationella säkerheten, också av frågan huruvida ett sådant undantag har missbrukats eller fortfarande är berättigat.

168)

För att underlätta utövandet av ovannämnda rättigheter i lagen om skydd av personuppgifter, vilka innehas av förvaltningsorgan, har inrikes- och kommunikationsministeriet inrättat 51 ”centrum för övergripande information” som tillhandahåller samlade upplysningar om dessa rättigheter, tillämpliga förfaranden för att göra en begäran och eventuella möjligheter till prövning (144). Vad gäller förvaltningsorgan, är de ålagda att tillhandahålla ”uppgifter som bidrar till att ange vilken personlig information som lagras” (145) och att vidta ”andra adekvata åtgärder med hänsyn till att den person som avser att göra en begäran” (artikel 47.1 i lagen om uppgifter hos förvaltningsorgan).

169)

Liksom i brottmålsutredningar kan den enskilde, genom att direkt kontakta nämnden, få enskild prövning i ärenden som rör den nationella säkerheten också på området nationell säkerhet. Detta kommer att utlösa det särskilda förfarande för tvistlösning som den japanska regeringen har inrättat för enskilda i EU, vars personuppgifter överförs enligt detta beslut (se närmare förklaringar i skälen 141–144 och 149).

170)

Dessutom kan den enskilde begära rättslig prövning i form av en skadeståndstalan enligt lagen om rättslig prövning mot staten, vilket även omfattar ideell skada och på vissa villkor radering av de insamlade uppgifterna (se skäl 147).

171)

Kommissionen anser att personuppgiftslagen, kompletterad med tilläggsreglerna i bilaga I, tillsammans med de officiella framställningarna, utfästelserna och åtagandena i bilaga II, säkerställer en skyddsnivå för personuppgifter, vilka överförts från Europeiska unionen, som väsentligen är likvärdig med den skyddsnivå som garanteras genom förordning (EU) 2016/679.

172)

Kommissionen anser dessutom att det japanska rättssystemets tillsynsmekanismer och möjligheter till prövning gör att överträdelser som begåtts av mottagande informationshanterande näringsidkare kan identifieras och bestraffas i praktiken, och dessutom erbjuds de registrerade rättsmedel för att få tillgång till personuppgifter som rör dem själva. Slutligen går det också att få sådana uppgifter korrigerade eller raderade.

173)

På grundval av tillgängliga uppgifter om den japanska rättsordningen, inbegripet framställningar, utfästelser och åtaganden från japanska staten i bilaga II, anser kommissionen slutligen att japanska myndigheters eventuella påverkan på de grundläggande rättigheterna för enskilda vilkas personuppgifter överförs från Europeiska unionen till Japan för allmännyttiga ändamål, särskilt i straffrättsliga syften som rör brottsbekämpning och den nationella säkerheten, kommer att vara begränsade till vad som är absolut nödvändigt för att uppnå det legitima målet i fråga, och att det finns ett faktiskt rättsligt skydd mot sådan påverkan.

174)

Mot bakgrund av slutsatserna i detta beslut anser kommissionen därför att Japan förmår säkerställa en adekvat skyddsnivå för de personuppgifter som överförs från Europeiska unionen till informationshanterande näringsidkare i Japan som omfattas av personuppgiftslagen, utom i de fall där mottagaren omfattas av någon av de kategorier som förtecknas i artikel 76.1 personuppgiftslagen och alla eller delar av ändamålen med behandlingen motsvarar ett av de ändamål som föreskrivs i nämnda bestämmelse.

175)

På grundval av detta sluter sig kommissionen till att den adekvata skyddsnivån i artikel 45 i förordning (EU) 2016/679, tolkad mot bakgrund av stadgan om de grundläggande rättigheterna, särskilt i domen i Schrems-målet (146), är uppfylld.

176)

Enligt domstolens rättspraxis (147), och som erkänt i artikel 45.4 i förordning (EU) 2016/679, bör kommissionen fortlöpande övervaka relevant utveckling i tredjelandet efter antagandet av ett beslut om adekvat skyddsnivå för att bedöma huruvida Japan fortfarande säkerställer en väsentligen likvärdig skyddsnivå. En sådan kontroll krävs i alla händelser när kommissionen får information som ger upphov till motiverat tvivel i detta hänseende.

177)

Därför bör kommissionen fortlöpande övervaka situationen avseende den rättsliga ramen och nuvarande praxis för behandling av personuppgifter enligt bedömningen i detta beslut, inbegripet de japanska myndigheternas efterlevnad av de framställningar, utfästelser och åtaganden som ingår i bilaga II. För att underlätta denna process förväntas de japanska myndigheterna informera kommissionen om väsentliga förändringar som är relevanta för detta beslut, både avseende behandlingen av personuppgifter och de begränsningar och säkerheter som gäller offentliga myndigheters tillgång till personuppgifter. Detta bör omfatta alla beslut fattade av nämnden enligt artikel 24 i personuppgiftslagen som medger att ett tredjeland erbjuder en likvärdig skyddsnivå som den i Japan.

178)

För att kommissionen faktiskt ska kunna fullgöra sin tillsynfunktion bör medlemsstaterna vidare underrätta kommissionen om de relevanta åtgärder som vidtas av de nationella dataskyddsmyndigheterna, särskilt avseende frågor eller klagomål från registrerade i EU om överföring av personuppgifter från Europeiska unionen till näringsidkare i Japan. Kommissionen bör även underrättas om eventuella indikationer på att åtgärder som vidtas av japanska myndigheter med ansvar för att förebygga, utreda, avslöja eller lagföra brott, eller med hänvisning till den nationella säkerheten, inbegripet eventuella tillsynsorgan, inte kan garantera den erforderliga skyddsnivån.

179)

Medlemsstaterna och deras organ åläggs att vidta erforderliga åtgärder för att efterleva rättsakter från unionens institutioner, eftersom dessa antas vara giltiga och därmed ha rättsverkan så länge de inte har återkallats, upphävts enligt en talan om ogiltigförklaring eller till följd av en begäran om förhandsavgörande eller invändning om rättsstridighet. Ett beslut om adekvat skyddsnivå som antas av kommissionen enligt artikel 45.3 i förordning (EU) 2016/679 är följaktligen bindande för alla organ i medlemsstaterna som det riktar sig till, också för deras oberoende tillsynsmyndigheter. Som domstolen klargjort i sitt beslut i Schrems-målet (148) och medger i artikel 58.5 i förordningen gäller samtidigt följande: I fall där en dataskyddsmyndighet, också efter ett klagomål, ifrågasätter ett kommissionsbeslut om adekvat skyddsnivå är förenligt med den enskildes grundläggande rätt till personlig integritet och uppgiftsskydd, måste den nationella lagstiftaren föreskriva rättsmedel som gör det möjligt att vid nationella domstolar göra gällande dessa invändningar och hänskjuta målet till EU-domstolen för förhandsavgörande (149).

180)

Vid tillämpningen av artikel 45.3 i förordning (EU) 2016/679 (150), och då den skyddsnivå som åstadkoms av den japanska rättsordningen kan bli föremål för ändringar, bör kommissionen, efter antagandet av detta beslut, regelbundet kontrollera huruvida de konstateranden om adekvat skyddsnivå som säkerställs av Japan fortfarande är sakligt och rättsligt motiverade.

181)

Därför bör detta beslut bli föremål för en första översyn inom två år efter ikraftträdandet. Efter den första översynen, och beroende på resultatet av denna, kommer kommissionen att i nära samråd med den kommitté som inrättats enligt artikel 93.1 i den allmänna dataskyddsförordningen avgöra om tvåårscykeln bör bibehållas. Under alla omständigheter bör efterföljande översynen ske minst vart fjärde år (151). Översynen bör omfatta alla aspekter av tillämpningen av detta beslut, i synnerhet tillämpningen av tilläggsreglerna (med särskild uppmärksamhet på det skydd som erbjuds i fall av vidare överföring), tillämpningen av reglerna om samtycke, också i fall av återkallande, det faktiska utövande av individuella rättigheter, samt begränsningar och skyddsåtgärder avseende offentlig tillgång till uppgifter, inbegripet den prövningsmekanism som anges i bilaga II till detta beslut. Det bör också omfatta det faktiska utövandet och verkställigheten både avseende regler för informationshanterande näringsidkare och på området brottsbekämpning och nationell säkerhet.

182)

Inför översynen bör kommissionen sammanträda med nämnden, om lämpligt tillsammans med andra japanska myndigheter med ansvar för myndigheters tillgång till uppgifter, samt med berörda tillsynsorgan. Deltagande i mötet bör vara öppet för företrädare för ledamöterna i Europeiska dataskyddsstyrelsen. I samband med den gemensamma översynen bör kommissionen begära att nämnden förser den med omfattande information om samtliga aspekter av relevans för konstaterandet om adekvat skyddsnivå, också om begränsningar och skyddsåtgärder avseende statens tillgång till information (152). Kommissionen bör också begära klargöranden om de uppgifter som inkommit till den och som är relevanta för detta beslut, inbegripet offentliga rapporter från japanska myndigheter eller andra intressenter i Japan, Europeiska dataskyddsstyrelsen, enskilda dataskyddsmyndigheter, grupper i det civila samhället, rapporter från media eller andra tillgängliga informationskällor.

183)

På grundval av den gemensamma översynen ska kommissionen utarbeta en rapport som ska överlämnas till Europaparlamentet och rådet.

184)

Om kommissionen på grundval av både regelbundna och särskilda kontroller, eller annan tillgänglig information, sluter sig till att den skyddsnivå som erbjuds inom den japanska rättsordningen inte längre kan betraktas som väsentligen likvärdig med skyddsnivån i Europeiska unionen, bör kommissionen underrätta behöriga japanska myndigheter om detta och begära att lämpliga åtgärder vidtas inom en fastställd, rimlig tidsram. Detta inbegriper regler tillämpliga både på näringsidkare och japanska myndigheter med ansvar för brottsbekämpning eller nationell säkerhet. Exempelvis skulle ett sådant förfarande utlösas i fall där vidare överföringar, också på grundval av beslut fattade av nämnden enligt artikel 24 i personuppgiftslagen, som medger att ett tredjeland erbjuder en likvärdig skyddsnivå som den i Japan, inte längre kommer att genomföras inom ramen för de skyddsåtgärder som säkerställer kontinuiteten i skyddet.

185)

Om de behöriga japanska myndigheterna, efter den angivna periodens utgång, misslyckas med att på ett tillfredsställande sätt visa att detta beslut fortsatt bygger på en adekvat skyddsnivå, bör kommissionen vid tillämpningen av artikel 45.5 i förordning (EU) 2016/679 inleda förfarandet för ett partiellt eller fullständigt upphävande eller återkallande av detta beslut. Alternativt bör kommissionen inleda förfarandet om ändring av detta beslut, i synnerhet genom att tillämpa ytterligare villkor på överföringar av personuppgifter eller genom att begränsa omfattningen av konstaterandet om adekvat skyddsnivå enbart till överföring av uppgifter för vilka fortlöpande skydd enligt artikel 44 i den allmänna dataskyddsförordningen är säkerställd.

186)

Kommissionen bör i synnerhet inleda förfarandet för upphävande eller återkallande vid indikationer på att tilläggsreglerna i bilaga I inte efterlevs av näringsidkare som tar emot personuppgifter enligt detta beslut och/eller inte effektivt verkställs, eller att de japanska myndigheterna inte uppfyller de framställningar, utfästelser och åtaganden som ingår i bilaga II till detta beslut.

187)

Kommissionen bör också överväga att inleda ett förfarande som leder till ändring, upphävande eller återkallande av detta beslut, om behöriga japanska myndigheter, inom ramen för den gemensamma översynen eller på annat sätt, underlåter att tillhandahålla den information eller de klargöranden som är nödvändiga för bedömningen av skyddsnivån för personuppgifter vilka överförs från Europeiska unionen till Japan och i överensstämmelse med detta beslut. I detta avseende bör kommissionen beakta i vilken utsträckning de relevanta uppgifterna kan erhållas från andra källor.

188)

Av vederbörligen motiverade och brådskande skäl, såsom risk för allvarlig överträdelse av en registrerad persons rättigheter, bör kommissionen överväga att anta ett beslut om att ogiltigförklara eller upphäva detta beslut som bör tillämpas omedelbart, i enlighet med artikel 93.3 i förordning (EU) 2016/679 jämförd med artikel 8 i Europaparlamentets och rådets förordning (EU) nr 182/2011 (153).

189)

Europeiska dataskyddsstyrelsen offentliggjorde sitt yttrande (154), vilket har beaktats vid utarbetandet av detta beslut.

190)

Europaparlamentet har antagit en resolution om en strategi för digital handel, genom vilken kommissionen uppmanas att prioritera och påskynda antagandet av beslut om adekvat skyddsnivå med viktiga handelspartner i enlighet med villkoren i förordning (EU) 2016/679 som en viktig mekanism för att säkra överföringar av personuppgifter från Europeiska unionen (155). Europaparlamentet har även antagit en resolution om huruvida skyddet av personuppgifter i Japan är tillräckligt (156).

191)

De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats enligt artikel 93.1 i allmänna dataskyddsförordningen.